Ssg5 Manual

NetScreen conceptos y ejemplosreenOS

de fensa

ScreenOS 5.1.0

Ref. 093-1369-000-SP

Revisión B

Manual de referencia de Sc

Volumen 4: Mecanismosdetección de ataques y de

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.

Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.Information in this document is subject to change without notice.No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc.ATTN: General Counsel1194 N. Mathilda Ave.Sunnyvale, CA 94089-1206

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

• Reorient or relocate the receiv

• Increase the separation betwe

• Consult the dealer or an exper

• Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

Contenido

defensa i

................................................... 22

................................................... 23

................................................... 27ión contra suplantación 3............................................... 30ión contra suplantación 2............................................... 34

ta de origen ............................. 36

a los ataques .........................................41

l cortafuegos .........................42bla de sesiones .......................... 42es según sus orígenes ................................................... 42ión de sesiones según ................................................... 45ión de sesiones según ................................................... 46gresivo...................................... 46l envejecimiento agresivo

................................................... 49

N-ACK-ACK................................. 50

red .......................................52................................................... 52ión contra inundaciones SYN.... 59

................................................... 67

................................................... 69

nd Attack”)................................. 71

Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y

ContenidoPrefacio ......................................................................... v

Convenciones ...........................................................viiConvenciones de la interfaz de línea de comandos (CLI) ......................................................vii

Convenciones de la interfaz gráfica (WebUI) .............viii

Convenciones para las ilustraciones............................ x

Convenciones de nomenclatura y conjuntos de caracteres ................................................................... xi

Documentación de NetScreen de Juniper Networks ..................................................xii

Capítulo 1 Protección de una red................................1

Etapas de un ataque .................................................2

Mecanismos de detección y defensa .......................3

Supervisión de exploits ...............................................5Ejemplo: Supervisión de ataques desde la zona Untrust .....................................................................6

Capítulo 2 Bloqueo de reconocimiento .......................7

Barrido de direcciones IP ...........................................8

Análisis de puertos....................................................10

Reconocimiento de red mediante opciones IP .......12

Rastreo del sistema operativo ..................................16Flags SYN y FIN activados ...........................................16

Flag FIN sin flag ACK...................................................18

Encabezado TCP sin flags activados..........................20

Técnicas de evasión ................................................22

Análisis FIN...............

Flags no SYN............

Suplantación de IP ..Ejemplo: Proteccde IP en la capaEjemplo: Proteccde IP en la capa

Opciones de IP de ru

Capítulo 3 Defensas contrde denegación de servicio

Ataques DoS contra eInundación de la ta

Límites de sesiony destinos ..........Ejemplo: Limitacsu origen ...........Ejemplo: Limitacsu destino..........Envejecimiento aEjemplo: Forzar ede sesiones .......

Inundación proxy SY

Ataques DoS contra laInundación SYN.......

Ejemplo: Protecc

Inundación ICMP ....

Inundación UDP.......

Ataque terrestre (“La

Contenido

defensa ii

en modo de fallo .................. 108p-Alive .................................... 108

................................................. 109

............................................111rado......................................... 112bres de dominios (DNS)............ 113do de URL............................... 113

el filtrado de URL ..................... 114................................................. 115ría de URL................................ 116o URL ........................................ 117 filtrado de URL ....................... 119

as de URL................................. 120 de URL integrado.................... 121ntrol ........................................ 124o de URL.................................. 125tros del caché ........................ 125

del filtrado de URL .................. 126ración del filtrado de URL ....... 132

n .....................................135

pection................................137

datos de objetos ............................................141zación inmediata ..................... 142zaciones automáticas.............. 144ción automática nmediata................................. 145zación manual ......................... 147

rupos..................................149les............................................ 151

................................................. 156


Ataques DoS específicos de cada sistema operativo .....................................................73

“Ping of Death” ...........................................................73

Ataque “Teardrop”......................................................75

WinNuke......................................................................77

Capítulo 4 Supervisión y filtrado de contenidos .........79

Reensamblaje de fragmentos..................................81Protección contra URLs maliciosas .............................81

Puerta de enlace en la capa de aplicación.............82Ejemplo: Bloqueo de URLs maliciosas fragmentadas ......................................................83

Análisis antivirus ........................................................86Análisis del tráfico FTP .................................................87

Análisis del tráfico HTTP ...............................................89Extensiones MIME de HTTP.....................................90Correo web HTTP...................................................91

Análisis del tráfico IMAP y POP3 ..................................92

Análisis del tráfico SMTP ..............................................94

Actualización del archivo de firmas AV ......................96Ejemplo: actualización automática .....................98Ejemplo: Actualización manual............................99

Aplicación de análisis AV .........................................100Ejemplo: Análisis AV interno (POP3).....................100

Ajustes del analizador AV..........................................103Análisis selectivo de contenido ..........................103Ejemplo: Análisis de todos los tipos de tráfico....104Ejemplo: Análisis AV para SMTP y HTTP ................105Descompresión y tamaño máximo de los contenidos...............................................106Ejemplo: Descartar archivos de gran tamaño.................................................106Asignación de recursos a AV..............................107

ComportamientoMétodo HTTP KeeGoteo HTTP ........

Filtrado de URL............Filtrado de URL integ

Servidor de nomContexto de filtraEjemplo: ActivarCategorías URL..Ejemplo: CategoPerfiles de filtradEjemplo: Perfil dePerfiles y directivEjemplo: FiltradoServidores SurfCoCaché del filtradEjemplo: Paráme

RedireccionamientoEjemplo: Configu

Capítulo 5 Deep Inspectio

Resumen de Deep Ins

Servidor de la base dede ataque..................

Ejemplo: ActualiEjemplo: ActualiEjemplo: Notificay actualización iEjemplo: Actuali

Objetos de ataque y gProtocolos compatib

Firmas completas ....

Contenido

defensa iii

............................................200

ión del objeto de ataque ........ 200

os componentes de HTTP.....207

................................................. 207

................................................. 208

................................................. 208

................................................. 208

ar applets de Java ................................................. 209

paquetes sospechosos ..211

............................................212

es.........................................214

s .........................................216

os .......................................218

tes IP ...................................220

............................................222

ataques de ........................................225

e de sobrefacturación .......226

sobrefacturación ...............228

................................................. 228

er de NetScreen....................... 228

ración de la función de taques de sobrefacturación ... 230

a firmas definidas por ..........................................A-I

......................................... IX-I


Firmas de secuencias TCP ........................................157

Anomalías en el protocolo .......................................157

Grupos de objetos de ataque..................................158

Cambio de los niveles de gravedad .................159

Ejemplo: Deep Inspection para P2P...................161

Desactivación de objetos de ataque ......................163

Acciones de ataque ..............................................164

Ejemplo: Acciones de ataque – Close Server, Close, Close Client .............................................165

Registro de ataques ...............................................176

Ejemplo: Desactivar el registro por grupo de ataques.........................................................176

Asignación de servicios personalizados a aplicaciones .......................................................179

Ejemplo: Asignar una aplicación a un servicio personalizado ....................................................180

Ejemplo: Asignación de aplicación a servicio para ataques de HTTP ........................................184

Objetos de ataque y grupos personalizados.........187

Objetos de ataque de firma completa definidos por el usuario............................................................187

Expresiones regulares.........................................188

Ejemplo: Objetos de ataque de firma completa definidos por el usuario .....................191

Objetos de ataque de la firma de la secuencia TCP..........................................................195

Ejemplo: Objeto de ataque de firma de secuencia definido por el usuario ................196

Parámetros configurables de anomalías de protocolos ...........................................................198

Ejemplo: Modificación de parámetros ..............198

Negación ...................

Ejemplo: Negac

Bloqueo granular de l

Controles ActiveX ....

Applets de Java ......

Archivos EXE ............

Archivos ZIP..............

Ejemplo: Bloquey archivos .exe..

Capítulo 6 Atributos de los

Fragmentos ICMP .......

Paquetes ICMP grand

Opciones IP incorrecta

Protocolos desconocid

Fragmentos de paque

Fragmentos SYN..........

Capítulo 7 Prevención de sobrefacturación de GPRS

Descripción del ataqu

Solución al ataque de

Módulo de NSGP.....

Protocolo Gatekeep

Ejemplo: Configuprevención de a

Apéndice A Contextos parel usuario ...........................

Índice ................................

Contenido

defensa iv

y defensa v

s opciones de seguridad de red iones SCREEN que se pueden

o que llega al dispositivo activado dichas opciones. Las taques de denegación de pciones de seguridad de red, trusiones (IDP), a nivel de ión de las directivas en las que

un ataque y las opciones de

sponibles para bloquear el el tipo de sistema operativo

se explican los ataques DoS n amortigua estos ataques.

ca, tal como se aplica a las minar las directivas de forma

Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques

Prefacio

En el Volumen 4, “Mecanismos de detección de ataques y defensa” se describen laNetScreen de Juniper Networks disponibles en ScreenOS. Muchas de ellas son opcactivar en el nivel de zona de seguridad. Las opciones SCREEN se aplican al tráficNetScreen a través de cualquier interfaz asociada a una zona para la que se hayanopciones SCREEN ofrecen protección contra análisis de puertos y direcciones IP, aservicio (DoS) y cualquier otro tipo de actividad maliciosa. Es posible aplicar otras ocomo el filtrado de URL, la comprobación antivirus y la detección y prevención de indirectivas. Estas opciones sólo se aplican al tráfico que se encuentre bajo la jurisdiccse activan.

El material incluido en este volumen está organizado del siguiente modo:

• En el Capítulo 1, “Protección de una red” se resumen las etapas básicas decortafuegos disponibles para combatir al atacante en cada etapa.

• En el Capítulo 2, “Bloqueo de reconocimiento” se describen las opciones dibarrido de direcciones IP, los análisis de puertos y los intentos de descubrir(OS) del sistema objetivo del ataque.

• En el Capítulo 3, “Defensas contra los ataques de denegación de servicio” específicos de cada sistema operativo, red o cortafuegos, y cómo NetScree

Nota: El objeto de las directivas sólo se presenta en este volumen de forma perifériopciones de seguridad de red que se pueden activar a nivel de directivas. Para exacompleta, consulte “Directivas” en la página 2 -307.

Prefacio

defensa vi

ger a los usuarios del protocolo rotocolo de transferencia de s uniformes (URL o “Universal ra el trabajo con productos de e URL.

vo NetScreen para obtener rupos de objetos de ataque

opciones SCREEN que butos de paquete IP e ICMP

describe el ataque de

rcionan descripciones de los completa.


• En el Capítulo 4, “Supervisión y filtrado de contenidos” se describe cómo protede transferencia de hipertexto (HTTP o “Hypertext Transfer Protocol”) y del parchivos (FTP o “File Transfer Protocol”) frente a los localizadores de recursoResource Locator”) maliciosos y cómo configurar el dispositivo NetScreen paotros fabricantes con la finalidad de proporcionar análisis antivirus y filtrado d

• En el Capítulo 5, “Deep Inspection” se describe cómo configurar el dispositiactualizaciones de objetos de ataque IDP, cómo crear objetos de ataque y gdefinidos por el usuario, y cómo aplicar IDP a nivel de directivas.

• En el Capítulo 6, “Atributos de los paquetes sospechosos” se indican variasprotegen los recursos de red frente a potenciales ataques indicados por atriinusuales.

• En el Capítulo 7, “Prevención de ataques de sobrefacturación de GPRS” sesobrefacturación de GPRS (overbilling) y se explica la solución.

• En el Apéndice A, “Contextos para firmas definidas por el usuario” se propocontextos que se pueden especificar al definir un objeto de ataque de firma

Prefacio Convenciones

defensa vii

guientes secciones:

)s de la interfaz de línea de

por barras verticales ( | ).

manage, ethernet2 o ethernet3”.

vo en el caso de las variables, ra visualizar el número de serie

permitan al sistema reconocer te escribir set adm u joe . Aunque este método se se representan con sus


CONVENCIONES

Este documento contiene distintos tipos de convenciones, que se explican en las si

• “Convenciones de la interfaz de línea de comandos (CLI)”

• “Convenciones de la interfaz gráfica (WebUI)” en la página viii

• “Convenciones para las ilustraciones” en la página x

• “Convenciones de nomenclatura y conjuntos de caracteres” en la página xi

Convenciones de la interfaz de línea de comandos (CLILas siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):

• Los comandos entre corchetes [ ] son opcionales.

• Los elementos entre llaves { } son obligatorios.

• Si existen dos o más opciones alternativas, aparecerán separadas entre sí Por ejemplo:

set interface { ethernet1 | ethernet2 | ethernet3 } significa “establecer las opciones de administración de la interfaz ethernet1

• Las variables aparecen en cursiva. Por ejemplo:

set admin user name password

Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salque siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system pade un dispositivo NetScreen”.

Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficienj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentación todos ellos palabras completas.


efensa viii

de la WebUI por las que se uadro de diálogo de > New . A continuación se

libretas de direcciones.

New.e diálogo de configuración .

4

Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y d

Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación pasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cconfiguración de direcciones se representa como sigue: Objects > Addresses > Listmuestra la secuencia de navegación.

1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.

2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.

3. Haga clic en List.Aparecerá la tabla de

4. Haga clic en el vínculoAparecerá el cuadro dde nuevas direcciones

1

2

3


defensa ix

e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben

lic en OK :

Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.


Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar:

Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust

Zone: Untrust

Haga clic en OK .

Address Name: addr_1

IP Address Name/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32


defensa x

ustraciones de este manual:

ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)

nternet

quipo de escritorio

ervidor

ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)

quipo portátil

ango de direcciones IP dinámicas DIP)


Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il

Dispositivo NetScreen genérico

Zona de seguridad

Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)

Icono de enrutador (router)

Icono de conmutador (switch)

Dominio de enrutamiento virtual

Túnel VPN

Ru(

I

E

S

D(c

Interfaz de túnel

E

R(


defensa xi

rescomo direcciones, usuarios ales, túneles de VPN y zonas)

n espacio, la ejemplo,

entrecomillada;

or el contrario, en e indistintamente.

últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,

encuentran el chino, el coreano

ión de las comillas dobles ( “ ), res que contengan espacios.

mite tanto SBCS como MBCS,


Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.

• Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deberá entrecomillarse mediante comillas dobles ( “ ); porset address trust “local LAN” 10.1.1.0/24 .

• NetScreen eliminará cualquier espacio al comienzo o al final de una cadenapor ejemplo, “ local LAN ” se transformará en “local LAN”.

• NetScreen tratará varios espacios consecutivos como uno solo.

• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; pmuchas palabras clave de la interfaz de línea de comandos pueden utilizarsPor ejemplo, “local LAN” es distinto de “local lan”.

ScreenOS admite los siguientes conjuntos de caracteres:

• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.

• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb

Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.

Prefacio Documentación de NetScreen de Juniper Networks

defensa xii

r Networks, visite

ase Manager” en la página web os EE.UU.) o al

n nosotros a través de la


DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentación técnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.

Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Chttp://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).

Si encuentra algún error o omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:

[email protected]

http://www.juniper.net/techpubs/

http://www.juniper.net/support/

mailto:[email protected]

1

y defensa 1

Capítulo 1

ista contiene algunos objetivos

a denegación de servicio (DoS)

a la red

a la que protege

tege

strar los esfuerzos de los car una red protegida por un

de un ataque y de los diversos er etapa:


Protección de una red

Puede haber numerosos motivos para penetrar en una red protegida. La siguiente lcomunes:

• Obtener el siguiente tipo de información sobre la red protegida:

– Topología de la red

– Direcciones IP de los hosts activos

– Números de los puertos activos de los hosts activos

– Sistema operativo de los hosts activos

• Colapsar un host de una red protegida con tráfico fantasma para inducir un

• Colapsar una red protegida con tráfico fantasma para inducir un DoS en tod

• Colapsar un cortafuegos con tráfico fantasma e inducir un DoS para la red

• Provocar daños y robar datos de un host de la red protegida

• Conseguir acceso a un host de la red protegida para obtener información

• Lograr el control de un host para lanzar otros exploits

• Apoderarse de un cortafuegos para controlar el acceso a la red a la que pro

ScreenOS ofrece herramientas de detección y defensa que permiten descubrir y fruhackers por alcanzar los objetivos mencionados anteriormente cuando intentan atadispositivo NetScreen.

Este capítulo proporciona en primer lugar una vista general de las principales etapasmecanismos de defensa que se pueden emplear para frustrar un ataque en cualqui

• “Etapas de un ataque” en la página 2

• “Mecanismos de detección y defensa” en la página 3

• “Supervisión de exploits” en la página 5

Capítulo 1 Protección de una red Etapas de un ataque

defensa 2

tapa, el atacante recopila

es IP).

tectados mediante el barrido de

ebilidad del OS o un tipo de


ETAPAS DE UN ATAQUENormalmente, los ataques se desarrollan en dos etapas principales. En la primera einformación; en la segunda etapa, lanza el ataque propiamente dicho.

1. Realizar el reconocimiento.

1. Asignar la red y determinar qué hosts están activos (barrido de direccion

2. Averiguar qué puertos están activos (análisis de puertos) en los hosts dedirecciones IP.

3. Determinar el sistema operativo (OS), con lo que se puede revelar una dataque al que sea susceptible ese OS en particular.

2. Lanzar el ataque.

1. Ocultar el origen del ataque.

2. Realizar el ataque.

3. Eliminar u ocultar las pruebas.

Capítulo 1 Protección de una red Mecanismos de detección y defensa

defensa 3

ataque con el que se pretende resulta sencillo establecer una P SYN se puede utilizar como sts activos, o como un ataque

cionamiento. Es más, como los que, podemos considerar las e, e interpretar que constituyen vidades de reconocimiento

a nivel de directivas y de zona

erzona. (Se entiende por zonas de seguridad).reen utilizan un método de étodo, el dispositivo NetScreen s TCP (direcciones IP de origen e paquetes) y mantiene el

spositivo NetScreen también puertos dinámicos o

etScreen compara la da en la tabla de inspección. Si ntrario, el paquete se descarta.ermitiendo o rechazando, todo ispositivo NetScreen aplica o de contenidos y la detección

para ellas. La zona VLAN admite el miten una opción adicional de s opciones SCREEN no se aplican a

ión SYN-ACK-ACK del proxy, bloqueo


MECANISMOS DE DETECCIÓN Y DEFENSAUn exploit puede ser un simple rastreador para obtener información o un verdaderocomprometer, bloquear o dañar una red o un recurso de red. En algunos casos, no clara distinción entre estos dos objetivos. Por ejemplo, una barrera de segmentos TCun barrido de direcciones IP con el propósito de desencadenar respuestas de los hode inundación SYN con el objetivo de colapsar una red para impedir su correcto funhackers normalmente realizan un reconocimiento del objetivo antes de lanzar el ataactividades de recopilación de información como precursoras de un ataque inminentla primera etapa de un ataque. Por lo tanto, el término “exploit” abarca tanto las acticomo las de ataque; y la distinción entre ambas no siempre está clara.Juniper Networks ofrece diversos métodos de detección y mecanismos de defensa para combatir exploits en todas sus etapas de ejecución:

• Opciones SCREEN a nivel de zona1

• Directivas de cortafuegos a nivel de directivas de interzona, intrazona y sup“superzona” las directivas globales en las que no se incluyen referencias a

Para ofrecer protección contra todos los intentos de conexión, los dispositivos NetScfiltrado de paquetes dinámico conocido como inspección de estado. Mediante este mdetecta los diversos componentes del paquete IP y de los encabezados de segmentoy de destino, números de puertos de origen y de destino, y números de secuencias destado de cada sesión TCP y seudo-sesión UDP que atraviese el cortafuegos. (El dimodifica los estados de sesión basados en elementos cambiantes, como cambios determinación de sesión). Cuando llega un paquete TCP de respuesta, el dispositivo Ninformación incluida en su encabezado con el estado de la sesión asociada almacenacoinciden, se permite que el paquete de respuesta atraviese el cortafuegos. De lo coLas opciones SCREEN de NetScreen aseguran una zona inspeccionando, y luego pintento de conexión que necesite atravesar una interfaz asociada a dicha zona. El dentonces directivas de cortafuegos que pueden contener componentes para el filtrady prevención de intrusiones (IDP).

1. Aunque las zonas VLAN y MGT son zonas de función y no zonas de seguridad, es posible ajustar opciones SCREENmismo conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas de seguridad de capa 2 adinundación SYN que las zonas de capa 3 no admiten: descartar direcciones MAC desconocidas). Como las siguientela zona MGT, no están disponibles para dicha zona: protección contra inundaciones SYN, protección contra la inundacde componentes HTTP y protección frente a ataques de WinNuke.

Capítulo 1 Protección de una red Mecanismos de detección y defensa

defensa 4

ue ofrece un cortafuegos de

ues cio

el cortafuegos

íficos de cada sistema operativo

la tabla de sesiones

xy SYN-ACK-ACK

N

P

P

re (“Land Attack”)

”

rop”

la red

uetes sospechosos

es

tas

Protocolos desconocidos

Fragmentos de paquetes IP

Fragmentos SYN


A continuación se incluye un esquema de los conjuntos de mecanismos de defensa qNetScreen para la protección de una red:

Opciones de protección de red

Bloqueo de reconocimiento

Barrido de direcciones IP

Análisis de puertos

Rastreo del sistema operativo

Técnicas de evasión

Deep Inspection

Firmas completas

Anomalías en el protocolo

Bloqueo granular de los componentes de HTTP

Defensas contra los ataqde denegación de servi

Ataques DoS contra

Ataques DoS espec

Inundación de

Inundación pro

Inundación SY

Inundación ICM

Inundación UD

Ataque terrest

“Ping of Death

Ataque “Teard

WinNuke

Ataques DoS contra

Atributos de los paq

Supervisión y filtrado de contenidos

Reensamblaje de fragmentos

Análisis antivirus

Filtrado de URL

Prevención de ataques de sobrefacturación de

GPRS

Descripción del ataque de sobrefacturación

Solución al ataque de sobrefacturación

Fragmentos ICMP

Paquetes ICMP grand

Opciones IP incorrec

Prevención de ataques de sobrefacturación de

GPRS

Capítulo 1 Protección de una red Supervisión de exploits

defensa 5

n a dos niveles: zona de S y medidas de bloqueo de contenidos, el dispositivo irus (AV) y un filtrado de creen aplica IDP a nivel de aliza a nivel de zona. Los cción de red ajustada en una

de haber ocasiones en las que ente un exploit concreto para

descuidado o poco sofisticado).

analizarlo, investigarlo y arado con anterioridad. Puede pero que, en lugar de tomar e intentar comprender el nazas que acechan la red, ción e identidad, tal vez sea el ataque. Puede que también itirá calcular su respuesta.


Como ya hemos mencionado, los ajustes de protección de red de NetScreen operaseguridad y directiva. El dispositivo NetScreen ofrece defensas frente a ataques Doreconocimiento a nivel de zona de seguridad. En el área de supervisión y filtrado deNetScreen aplica un reensamblaje de fragmentos a nivel de zona y un análisis antivlocalizadores de recursos uniformes (URL) a nivel de directivas. El dispositivo NetSdirectivas, excepto para la detección y el bloqueo de componentes HTTP, que se reajustes de cortafuegos a nivel de zona son opciones SCREEN. Una opción de protedirectiva es un componente de dicha directiva.

SUPERVISIÓN DE EXPLOITSAunque normalmente se utiliza el dispositivo NetScreen para bloquear exploits, puese desee obtener información sobre ellos. Es posible que desee estudiar detenidamdescubrir su intención, su nivel de sofisticación o incluso su origen (si el atacante es

Si desea obtener información sobre un exploit, puede dejar que actúe, supervisarlo,reaccionar tal como se haya esbozado en un plan de respuesta ante incidentes prepconfigurar el dispositivo NetScreen para que le notifique la existencia de un exploit, medidas, permita que el exploit se filtre. En tal caso, podrá estudiar qué ha ocurridométodo, la estrategia y los objetivos del atacante. Cuanto mejor comprenda las amemejor podrá fortificar sus defensas. Aunque un hacker astuto puede ocultar su ubicacapaz de averiguar la suficiente información como para determinar dónde se originósea capaz de estimar las habilidades del atacante. Este tipo de información le perm

Capítulo 1 Protección de una red Supervisión de exploits

fensa 6

st a diario, normalmente e origen suplantadas, desea uciéndolas a un sistema tamiento del cortafuegos r de notificar y rechazarlos.

las actividades del atacante P de subida para comenzar

c en Apply :

ccione)

ntos durante un ataque.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y de

Ejemplo: Supervisión de ataques desde la zona UntrustEn este ejemplo, se han producido ataques de suplantación de IP desde la zona Untruentre las 21:00 y las 12:00. En lugar de descartar los paquetes con las direcciones IP dque el dispositivo NetScreen notifique su llegada pero les permita el paso, quizás condtrampa2 conectado en la conexión de interfaz DMZ. A las 20:55, se modifica el comporpara que notifique y acepte los paquetes pertenecientes a un ataque detectado en lugaCada vez que se produzca el ataque, podrá utilizar el sistema trampa para supervisar después de atravesar el cortafuegos. Puede trabajar también en colaboración con el ISa rastrear la procedencia de los paquetes hasta su punto de origen.

WebUI

Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga cli

Generate Alarms without Dropping Packet : (sele

IP Address Spoof Protection: (seleccione)

CLI

set zone untrust screen alarm-without-drop set zone untrust screen ip-spoofingsave

2. Un sistema trampa es un servidor de red que se utiliza como señuelo para atraer a los atacantes y registrar sus movimie

2

y defensa 7

Capítulo 2

red objetivo del ataque (qué s de puertos están activos en

jecutando en los hosts activos). tScreen ofrece varias opciones e obtengan información valiosa


Bloqueo de reconocimiento

Los atacantes pueden planificar mejor sus ataques si antes conocen el diseño de ladirecciones IP tienen los hosts activos), los puntos de entrada posibles (qué númerolos hosts activos) y la constitución de sus víctimas (qué sistema operativo se está ePara obtener esta información, es necesario realizar un reconocimiento. Juniper NeSCREEN para frustrar los intentos de reconocimiento de los atacantes e impedir qusobre la red y los recursos de red protegidos.

• “Barrido de direcciones IP” en la página 8

• “Análisis de puertos” en la página 10

• “Reconocimiento de red mediante opciones IP” en la página 12

• “Rastreo del sistema operativo” en la página 16

– “Flags SYN y FIN activados” en la página 16

– “Flag FIN sin flag ACK” en la página 18

– “Encabezado TCP sin flags activados” en la página 20

• “Técnicas de evasión” en la página 22

– “Análisis FIN” en la página 22

– “Flags no SYN” en la página 23

– “Suplantación de IP” en la página 27

– “Opciones de IP de ruta de origen” en la página 36

Capítulo 2 Bloqueo de reconocimiento Barrido de direcciones IP

defensa 8

aquetes ICMP a distintos hosts o de este esquema es enviar

e que al menos uno responda, stra de forma interna el número te los ajustes predeterminados, rosegundos), NetScreen lo ICMP siguientes procedentes

DMZ

El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros paquetes ICMP procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos paquetes, el dispositivo NetScreen los marca como no válidos y los elimina de la tabla de sesiones en el siguiente “barrido de basura”, que se realiza cada dos segundos. A partir del décimo paquete, el dispositivo NetScreen rechaza todo el tráfico ICMP procedente de 2.2.2.5.


BARRIDO DE DIRECCIONES IPSe produce un barrido de direcciones cuando una dirección IP de origen envía 10 pen un intervalo definido (el valor predeterminado es 5000 microsegundos). El objetivpaquetes ICMP (normalmente peticiones de eco) a varios hosts con la esperanza ddejando al descubierto una dirección a la que apuntar. El dispositivo NetScreen regide paquetes ICMP enviados a diversas direcciones desde un origen remoto. Mediansi un host remoto envía tráfico ICMP a 10 direcciones en 0,005 segundos (5000 micmarcará como un ataque de barrido de direcciones y rechazará todos los paquetes de dicho host hasta que transcurra el resto del segundo.

Origen: 2.2.2.5(probablemente una dirección

suplantada o un agente zombie)

Untrust

ethernet31.1.1.1/24

ethernet21.2.2.1/24

11 paquetes ICMPen 0,005 segundos

(Recuerde que, a partir del décimo paquete ICMP, el dispositivo NetScreen registra un barrido de direcciones IP y rechaza el paquete undécimo).

Dir. origen2.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.52.2.2.5

Dir. destino1.2.2.51.2.2.1601.2.2.841.2.2.2111.2.2.101.2.2.201.2.2.211.2.2.2401.2.2.171.2.2.1231.2.2.6

Paquetes ICMP

Rechazado

Nota: Un agente zombie es un host comprometido bajo el control encubierto de un atacante.

Capítulo 2 Bloqueo de reconocimiento Barrido de direcciones IP

defensa 9

xiste una directiva que permita . Si no existe tal directiva, se realicen un barrido de

n concreto, utilice una de las

siguientes datos y haga clic en

a protección contra barridos de


Estudie la activación de esta opción SCREEN para una zona de seguridad sólo si eel tráfico ICMP procedente de dicha zona. De lo contrario, no es necesario activarlarechaza todo el tráfico ICMP procedente de la zona, impidiendo a los atacantes quedirecciones IP con éxito.

Para bloquear los barridos de direcciones IP originados en una zona de seguridad esiguientes soluciones:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los Apply :

IP Address Sweep Protection: (seleccione)

Threshold: (introduzca un valor que active ldirecciones IP1)

CLI

set zone zone screen port-scan threshold numberset zone zone screen ip-sweep

1. El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.

Capítulo 2 Bloqueo de reconocimiento Análisis de puertos

fensa 10

con segmentos TCP SYN a microsegundos es el valor la esperanza de que al itivo NetScreen registra de ediante los ajustes segundos), NetScreen lo

dentes del origen remoto gundo.

Z

rto

YN

1.2.2.5

El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros intentos de conexión a 1.2.2.5 procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos intentos de conexión, el dispositivo NetScreen los marca como no válidos y los elimina de la tabla de sesiones en el siguiente “barrido de basura”, que se realiza cada dos segundos. A partir del décimo intento, el dispositivo NetScreen rechaza todos los intentos de conexión procedentes de 2.2.2.5.


ANÁLISIS DE PUERTOSUn análisis de puertos se produce cuando una dirección IP de origen envía paquetes IP10 puertos distintos en la misma dirección IP de destino en un intervalo definido (5000predeterminado). El objetivo de este esquema es analizar los servicios disponibles conmenos un puerto responda, identificando un servicio al que dirigir su ataque. El disposforma interna el número de los diversos puertos analizados desde un origen remoto. Mpredeterminados, si un host remoto analiza 10 puertos en 0,005 segundos (5000 micromarcará como un ataque de análisis de puertos y rechazará todos los paquetes proce(independientemente de la dirección IP de destino) hasta que transcurra el resto del se

Origen: 2.2.2.5(probablemente una dirección

suplantada o un agente zombie)

Untrust DM

ethernet31.1.1.1/24

ethernet21.2.2.1/24

11 segmentos SYN en 0,005 segundos

(Recuerde que, a partir del décimo paquete IP con segmentos TCP SYN destinado a diversos puertos de la misma dirección IP de destino, el dispositivo NetScreen lo registra como análisis de puertos y rechaza todos los paquetes procedentes de la dirección de origen).

Dir. origen:puerto2.2.2.5:178202.2.2.5:422882.2.2.5:228142.2.2.5:154012.2.2.5:133732.2.2.5:338112.2.2.5:178212.2.2.5:190032.2.2.5:264502.2.2.5:380872.2.2.5:24111

Dir. destino:pue1.2.2.5:211.2.2.5:231.2.2.5:531.2.2.5:801.2.2.5:1111.2.2.5:1131.2.2.5:1231.2.2.5:1291.2.2.5:1371.2.2.5:1381.2.2.5:139

Paquetes IP con segmentos TCP S

Rechazado

Destino:

Capítulo 2 Bloqueo de reconocimiento Análisis de puertos

defensa 11

to, utilice una de las siguientes


la protección contra análisis de


Para bloquear los análisis de puertos originados en una zona de seguridad en concresoluciones:

WebUI


Port Scan Protection: (seleccione)

Threshold: (introduzca un valor que active puertos2)

CLI

set zone zone screen port-scan threshold numberset zone zone screen port-scan

2. El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.

Capítulo 2 Bloqueo de reconocimiento Reconocimiento de red mediante opciones IP

defensa 12

de opciones que ofrecen peciales. Estas opciones

aciones más comunes” y, en rmalmente están vinculadas a opciones IP y los atributos que

Uso perniciosoinguno

inguno

ncabezado 20 bytes

(en bytes)

el fragmento


RECONOCIMIENTO DE RED MEDIANTE OPCIONES IPLa norma de protocolo de Internet “RFC 791, Internet Protocol” especifica una seriecontroles de enrutamiento, herramientas de diagnóstico y medidas de seguridad esaparecen después de la dirección de destino en un encabezado de paquetes IP.

La norma RFC 791 admite que estas opciones “no son necesarias para las comunicrealidad, rara vez aparecen en encabezados de paquetes IP. Cuando aparecen, noun uso con propósitos perniciosos. A continuación se incluye una lista de todas las las acompañan:

Tipo Clase Número Tamaño Uso intencionadoEnd of Options 0* 0 0 Indica el final de una o más

opciones IP.N

No Options 0 1 0 Indica que no hay opciones IP en el encabezado.

N

Versión

Suma de comprobación del e

Dirección de destino

Opciones

Carga de datos

Encabezado IP

Dirección de origen

Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paquete

0 D M Desplazamiento d

Tiempo de vida (“Time to Live” o TTL) Protocolo


defensa 13

esconocido, pero como se trata e una opción obsoleta, su resencia en un encabezado IP sulta sospechosa.

vasión. El atacante puede utilizar s rutas especificadas para ocultar l verdadero origen de un paquete u btener acceso a una red protegida. onsulte “Opciones de IP de ruta

e origen” en la página 36).

econocimiento. Si el host de estino es un equipo comprometido ajo el control del atacante, éste uede obtener información sobre la pología y el esquema de

ireccionamiento de la red travesada por el paquete.

Uso pernicioso


Security 0 2 11 bits Ofrece un medio para que los hosts envíen seguridad, compartimentación, parámetros TCC (grupo de usuarios cerrado) y códigos de restricción de uso compatibles con los requisitos del Ministerio de defensa (DoD) de Estados Unidos. (Esta opción, tal como se especifica en las normas RFC 791, “Internet Protocols” y RFC 1038, “Revised IP Security Option” está obsoleta).

Ddpre

Loose Source Route

0 3 Variable Especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite atravesar otros enrutadores intermedios.

Elaeo(Cd

Record Route 0 7 Variable Registra las direcciones IP de los dispositivos de red del itinerario que recorre el paquete IP. El equipo de destino puede extraer y procesar la información de ruta. (Debido a la limitación de espacio de 40 bytes tanto para la opción como para el espacio de almacenamiento, sólo se puede registrar un máximo de 9 direcciones IP).

Rdbptoda

Tipo Clase Número Tamaño Uso intencionado


defensa 14

esconocido, pero como se trata e una opción obsoleta, su resencia en un encabezado IP sulta sospechosa.

vasión. Un atacante puede utilizar s rutas especificadas para ocultar l verdadero origen de un paquete u btener acceso a una red protegida. onsulte “Opciones de IP de ruta

e origen” en la página 36).

econocimiento. Si el host de estino es un equipo comprometido ajo el control del atacante, éste uede obtener información sobre la pología y el esquema de

ireccionamiento de la red travesada por el paquete.

etes adicionales.

.

te horario también se denomina “horario

Uso pernicioso


Stream ID 0 8 4 bits (Obsoleta) Ofrecía un medio para que el identificador de secuencia SATNET de 16 bits se transportara por redes incompatibles con el concepto de secuencia.

Ddpre

Strict Source Route

0 9 Variable Especifica la lista de la ruta completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La última dirección de la lista sustituye a la dirección del campo de destino.

Elaeo(Cd

Timestamp 2† 4 Registra la hora (en formato de horario universal‡) en la que cada dispositivo de red recibe el paquete durante su itinerario desde el punto de origen al de destino. Los dispositivos de red se identifican por su número IP.Esta opción desarrolla una lista de direcciones IP de los enrutadores del itinerario del paquete y la duración de transmisión entre cada uno de ellos.

Rdbptoda

* La clase de opciones identificada como “0” estaba diseñada para proporcionar control de red o paqu† La clase de opciones identificada como “2” se diseñó para el diagnóstico, la depuración y la medición‡ La marca de hora utiliza el número de milisegundos desde la media noche en horario universal (UT). Es

medio de Greenwich” (GMT) y es la base para la norma horaria internacional.

Tipo Clase Número Tamaño Uso intencionado


defensa 15

tilizar para el reconocimiento o

ión IP sea 7 (Record Route) y ada.

e opciones IP incluya la opción N para la interfaz de entrada.

sea 2 (Security) y registra el

IP sea 8 (Stream ID) y registra

siguientes métodos (la zona de


e)


Las siguientes opciones SCREEN detectan las opciones IP que un atacante puede ucualquier otro propósito desconocido, pero sospechoso:

• Record Route: el dispositivo NetScreen detecta paquetes en los que la opcregistra el evento en la lista de contadores SCREEN para la interfaz de entr

• Timestamp: el dispositivo NetScreen detecta paquetes en los que la lista d4 (Internet Timestamp) y registra el evento en la lista de contadores SCREE

• Security: el dispositivo NetScreen detecta paquetes en los que la opción IPevento en la lista de contadores SCREEN para la interfaz de entrada.

• Stream ID: el dispositivo NetScreen detecta paquetes en los que la opción el evento en la lista de contadores SCREEN para la interfaz de entrada.

Para detectar paquetes con las opciones IP anteriores ajustadas, utilice uno de los seguridad especificada es la zona en la que se originó el paquete):

WebUI


IP Record Route Option Detection: (seleccion

IP Timestamp Option Detection: (seleccione)

IP Security Option Detection: (seleccione)

IP Stream Option Detection: (seleccione)

CLI

set zone zone screen ip-record-routeset zone zone screen ip-timestamp-optset zone zone screen ip-security-optset zone zone screen ip-stream-opt

Capítulo 2 Bloqueo de reconocimiento Rastreo del sistema operativo

defensa 16

se dirige el ataque para on mejor criterio qué ataque los rastreos de reconocimiento

zado de segmento TCP. El flag IN indica el final de la xcluyen mutuamente. Un CP anómalo y puede provocar

e 16 bits

bits

bits

20 bytes


RASTREO DEL SISTEMA OPERATIVOAntes de lanzar un exploit, es posible que un atacante intente rastrear el host al queaveriguar qué sistema operativo (OS) utiliza. Conociendo este dato, puede decidir clanzar y qué vulnerabilidades aprovechar. Un dispositivo NetScreen puede bloquearutilizados habitualmente para obtener información sobre los tipos de OS.

Flags SYN y FIN activadosLos flags de control SYN y FIN no están activados normalmente en el mismo encabeSYN sincroniza números de secuencia para el inicio de una conexión TCP. El flag Ftransmisión de datos para la terminación de una conexión TCP. Sus propósitos se eencabezado TCP con los flags SYN y FIN activados representa un comportamiento Tvarias respuestas del destinatario en función del OS.

Número de puerto de origen de 16 bits Número de puerto de destino d

Número de secuencia de 32 bits

Número de reconocimiento de 32 bits

U R G

A C K

P S H

R S T

Suma de comprobación de TCP de 16 bits Indicador urgente de 16

Tamaño de ventana de 16Tamaño de encabezado

de 4 bitsReservado

(6 bits)

Opciones (si las hay)

Datos (si los hay)

S Y N

F I N

Encabezado TCP

Los flags SYN y FIN están activados.


defensa 17

de respuesta de sistema se o. A continuación, el atacante

N y FIN están activados en l paquete.

ntes métodos (la zona de

and FIN Bits Set Protection


Un atacante puede enviar un segmento con ambos flags activados para ver qué tipodevuelve y determinar de este modo qué tipo de OS se utiliza en el punto de destinpuede emplear cualquier vulnerabilidad conocida del sistema para futuros ataques.

Al activar esta opción SCREEN, el dispositivo NetScreen comprueba si los flags SYencabezados TCP. Si descubre un encabezado de tales características, descarta e

Para bloquear paquetes con los flags SYN y FIN activados, utilice uno de los siguieseguridad especificada es la zona en la que se originó el paquete):

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYNy haga clic en Apply .

CLI

set zone zone screen syn-fin


defensa 18

sesión y terminar la conexión) . Como la existencia de un ndicio de comportamiento TCP reaccione enviando un mente. La respuesta de la

a enviar un segmento TCP con direcciones o burlar las en su lugar. Para obtener más

smisión) de diversas formas a la hora sin activar, determinadas

e 16 bits

bits

bits

20 bytes


Flag FIN sin flag ACKLos segmentos TCP con el flag de control FIN activado (para señalar el final de unasuelen tener también activado el flag ACK (para acusar recibo del paquete anterior)encabezado TCP con el flag FIN activado y el flag ACK desactivado representa un ianómalo, no existe una respuesta uniforme ante este hecho3. Es posible que el OS segmento TCP con el flag RST activado. También es posible que lo ignore completavíctima puede proporcionar información sobre el OS al atacante. (Otros motivos parel flag FIN activado pueden ser evadir la detección durante un análisis de puertos ydefensas destinadas a prevenir inundaciones SYN provocando una inundación FIN información sobre los análisis FIN, consulte “Análisis FIN” en la página 22).

3. Los proveedores han interpretado la norma RFC 793 “Transmission Control Protocol” (protocolo de control de la trande diseñar las implementaciones TCP/IP. Cuando se recibe un segmento TCP con el flag FIN activado y el flag ACKimplementaciones envían segmentos RST. Otras descartan el paquete sin enviar ningún segmento RST.

Número de puerto de origen de 16 bits Número de puerto de destino d



U R G

A C K

P S H

R S T


Tamaño de ventana de 16Tamaño de

encabezado de 4 bits

Reservado(6 bits)


Datos (si los hay)

S Y N

F I N

Encabezado TCP

Sólo está activado el flag FIN.


defensa 19

stá activado y el flag ACK está zado, descarta el paquete.

o de los siguientes métodos (la

Bit with No ACK Bit in Flags


Al activar esta opción SCREEN, el dispositivo NetScreen comprueba si el flag FIN edesactivado en encabezados TCP. Si descubre un paquete con este tipo de encabe

Para bloquear paquetes con el flag FIN activado y el flag ACK desactivado, utilice unzona de seguridad especificada es la zona en la que se originó el paquete):

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FINProtection y haga clic en Apply .

CLI

set zone zone screen fin-no-ack


defensa 20

. Un segmento TCP sin flags de o reacciona de forma distinta a r indicios del tipo de OS que se

TCP sin flags activados, n campo de flags mal formado.

de 16 bits

bits

bits

20 bytes


Encabezado TCP sin flags activadosUn encabezado de segmento TCP normal tiene al menos un flag de control activadocontrol activados representa un evento anómalo. Puesto que cada sistema operativtal anomalía, la respuesta (o la falta de respuesta) del dispositivo objetivo puede daestá ejecutando.

Si el dispositivo NetScreen está habilitado para detectar encabezados de segmentodescartará todos los paquetes TCP que carezcan de campo de flags o que tengan u

Número de puerto de origen de 16 bits Número de puerto de destino



U R G

A C K

P S H

R S T


Tamaño de ventana de 16Tamaño de

encabezado de 4 bits

Reservado(6 bits)


Datos (si los hay)

S Y N

F I N

Encabezado TCP

No hay ningún flag activado.


defensa 21

iguientes métodos (la zona de

P Packet without Flag


Para bloquear los paquetes que no tengan ningún flag activado, utilice uno de los sseguridad especificada es la zona en la que se originó el paquete):

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCProtection y haga clic en Apply .

CLI

set zone zone screen tcp-no-flag

Capítulo 2 Bloqueo de reconocimiento Técnicas de evasión

defensa 22

ecesita evitar que lo detecten. en detectar fácilmente, algunos u actividad. Técnicas tales que la mayoría de cortafuegos

nicas de reconocimiento y sus acciones.

r una respuesta (un segmento host. El atacante puede utilizar o un análisis de direcciones a estos dos últimos, pero no FIN activado se puede evadir iento.

ambas:

con el flag FIN activado, pero

r esta opción SCREEN en la s Protection .

mbre de la zona a la que desea

s los paquetes no SYN que no yn-check . (Para obtener más “Flags no SYN” en la página 23).

tá activado para los paquetes análisis no SYN, tales como activo).


TÉCNICAS DE EVASIÓNYa sea mientras recopila información o lanza un ataque, el atacante normalmente nAunque ciertos análisis de direcciones IP y puertos son tan descarados que se puedatacantes con mayores recursos utilizar una gran cantidad de medios para ocultar scomo la utilización de análisis FIN en lugar de análisis SYN (que los atacantes sabeny programas de detección de intrusiones detectan) indican una evolución en las técexplotación de vulnerabilidades con el objetivo de eludir la detección y llevar a cabo

Análisis FINUn análisis FIN envía segmentos TCP con el flag FIN activado para intentar provocaTCP con el flag RST activado) y así descubrir un host activo o un puerto activo en uneste método, no para realizar un barrido de direcciones con peticiones de eco ICMPcon segmentos SYN, sino porque sabe que muchos cortafuegos se defienden contrnecesariamente contra los segmentos FIN. Si se utilizan segmentos TCP con el flagla detección, permitiendo así que el atacante tenga éxito en su intento de reconocim

Para frustrar un análisis FIN, puede ejecutar cualquiera de las siguientes acciones o

• Habilitar la opción SCREEN que bloquea específicamente segmentos TCP no el flag ACK, lo que no es normal en un segmento TCP:

WebUI: Screening > Screen: Seleccione la zona a la que desea aplicalista desplegable Zone y seleccione FIN Bit With No ACK Bit in Flag

CLI: Escriba set zone name screen fin-no-ack , donde name es el noaplicar esta opción SCREEN .

• Cambie el comportamiento de procesamiento de paquetes para rechazar todopertenezcan a una sesión existente, mediante el comando CLI: set flow tcp-sinformación sobre la comprobación del flag SYN, consulte la siguiente sección,

Nota: Cambiando el flujo de paquetes para comprobar que el flag SYN esno pertenecientes a sesiones existentes también se frustran otros tipos delos análisis nulos (“null scan”, es decir, cuando no hay ningún flag de TCP


defensa 23

el primer paquete de una niciar una sesión. Puede dejar rce la comprobación de flags de los paquetes cuando se

stalar un dispositivo NetScreen que manece desactivada de forma

en la capa 2 (modo transparente).

ación de flag SYN inhabilitada

itir Creación de sesiones ADELANTE

Actualización de sesiones ADELANTE

n


Flags no SYNDe forma predeterminada4, el dispositivo NetScreen comprueba si hay flags SYN ensesión y rechaza cualquier segmento TCP con flags distintos de SYN que intenten ieste flujo de paquetes tal cual o cambiarlo para que el dispositivo NetScreen no fueSYN antes de crear una sesión. A continuación se muestran las secuencias de flujoinhabilita y habilita la comprobación de flag SYN5:

4. De forma predeterminada, la comprobación de flags SYN de TCP en el paquete inicial de una sesión se habilita al inejecute ScreenOS 5.1.0. Si se actualiza desde una versión anterior a ScreenOS 5.1.0, la comprobación de SYN perpredeterminada (a menos que haya cambiado previamente el comportamiento predeterminado).

5. Estos flujos de paquetes son los mismos si la interfaz de entrada está funcionando en la capa 3 (ruta o modo NAT) o

Con la comprobación de flag SYN habilitada Con la comprob

Llega un paquete a la interfaz de

entrada

Denegar

DESCARTAR

Perm

No en sesión

EnsesióConsulta

de sesiones

Consulta de

directivas

Llega un paquete a la interfaz de

entrada

Denegar

DESCARTAR

Permitir Creación de sesiones ADELANTE

Actualización de sesiones ADELANTE

No en sesión

En sesiónConsulta

de sesiones

Consulta de

directivas

DESCARTAR

Comprobar flag SYN

No

Sí


defensa 24

cibe un segmento TCP distinto CP RST al host de origen (a T). En ese caso, el dispositivo

os CLI:

ctiva en un entorno de l flag SYN activado a un rse al otro dispositivo oduce después de que rden. Por el contrario, si la incronizado la sesión y la ue impide establecer la sesión. SYN/ACK (aunque no

en la tabla de sesiones.

se agrega un dispositivo las sesiones existentes, que s muy largas, como las de datos. De forma similar, si se la sección central de una tentes (o las sesiones a las que das. Inhabilitar la

da. Transcurridas algunas horas de SYN.

recciones de origen y de destino, uno


Cuando el dispositivo NetScreen con la comprobación de flags SYN está activado rede SYN que no pertenece a una sesión existente, descarta el paquete y envía un Tmenos que el bit de código del paquete TCP inicial distinto de SYN sea también RSNetScreen descarta simplemente el paquete.

La comprobación de SYN se puede habilitar e inhabilitar con los siguientes comand

set flow tcp-syn-checkunset flow tcp-syn-check

No comprobar el flag SYN en los primeros paquetes ofrece las siguientes ventajas:

• NSRP con enrutamiento asimétrico: En una configuración NSRP activa/aenrutamiento dinámico, un host puede enviar el segmento inicial TCP con edispositivo NetScreen (NetScreen-A), pero la señal SYN/ACK podría enrutaNetScreen del clúster (NetScreen-B). Si este enrutamiento asimétrico se prNetScreen-A haya sincronizado su sesión con NetScreen-B, todo está en orespuesta SYN/ACK llega a NetScreen-B antes de que NetScreen-A haya scomprobación de SYN está habilitada, NetScreen-B rechaza SYN/ACK, lo qCon la comprobación de SYN inhabilitada, NetScreen-B acepta la respuestapertenezca a ninguna sesión existente) y crea para ella una nueva entrada

• Sesiones no interrumpidas: Si la comprobación de SYN está habilitada yNetScreen en modo transparente a una red operativa, se interrumpen todasdeberán reiniciarse6. Esta interrupción puede ser muy molesta para sesionetransferencias de datos o las de copias de seguridad de grandes bases de restablece el dispositivo NetScreen o incluso se cambia un componente en directiva7 y la comprobación de SYN está habilitada, todas las sesiones exisafecte la modificación de la directiva) se interrumpirán y deberán ser reiniciacomprobación de SYN evita esas interrupciones al tráfico de la red.

6. Una solución a esta situación es instalar el dispositivo NetScreen con la comprobación de SYN inicialmente inhabilita(cuando las sesiones establecidas se estén ejecutando a través del dispositivo NetScreen), habilite la comprobación

7. La sección central de una directiva contiene los siguientes componentes principales: zonas de origen y de destino, dio más servicios y una acción.


defensa 25

en seguridad:

g que no sea SYN (como ACK, ndows, por ejemplo) responden , el receptor no genera ninguna

ncia puede realizar un NetScreen. Si después envía

aso, el host de destino del ST esté activado. Tal cción específica y le indica que también averigua que la ost.

rta los segmentos TCP que no positivo no devolverá un a, sea cual sea el conjunto de o.

abilitada, un atacante puede dando una red protegida con activados. Aunque los hosts

RST como respuesta), tal la tabla de sesiones llena, el o.

N, se puede frustrar esta clase inicial de una sesión fuerza a flag SYN activado. A mentos TCP SYN por segundo

nes, consulte “Inundación de la ndaciones SYN, consulte


Sin embargo, observe que las ventajas indicadas requieren los siguientes sacrificios

• Agujeros de reconocimiento: Cuando un segmento TCP inicial con un flaURG, RST, FIN) llega a un puerto cerrado, muchos sistemas operativos (Wicon un segmento TCP cuyo flag RST está activado. Si el puerto está abiertorespuesta.

Analizando las respuestas o la ausencia de éstas, un recopilador de inteligereconocimiento en la red protegida y también en el conjunto de directivas deun segmento TCP con un flag no SYN activado y la directiva le permite el psegmento podría descartarlo y responder con un segmento TCP cuyo flag Rrespuesta informa al intruso sobre la presencia de un host activo en una direel número de puerto de destino está cerrado. El recopilador de inteligencia directiva del cortafuegos permite acceder a ese número de puerto en ese h

Con la comprobación del flag SYN habilitada, el dispositivo NetScreen descatengan flag SYN siempre que no pertenezcan a una sesión existente. El dissegmento TCP RST. Por lo tanto, el escáner no obtendrá ninguna respuestdirectivas o tanto si el puerto está abierto como cerrado en el host de destin

• Inundaciones de tablas de sesiones: Si la comprobación de SYN está inhevitar la función de protección contra inundaciones SYN de NetScreen inununa cantidad ingente de segmentos TCP que tengan flags que no sean SYNatacados descartarán los paquetes (y posiblemente envíen segmentos TCPinundación podría llenar la tabla de sesiones del dispositivo NetScreen. Condispositivo NetScreen no puede procesar nuevas sesiones de tráfico legítim

Habilitando la comprobación de SYN y la protección contra inundaciones SYde ataques. La comprobación de si el flag SYN está activado en el paquetetodas las nuevas sesiones a comenzar con un segmento TCP que tenga el continuación, la protección contra inundaciones SYN limita el número de segpara evitar saturaciones en la tabla de sesiones.

Nota: Para obtener información sobre las inundaciones de la tabla de sesiotabla de sesiones” en la página 42. Para obtener más información sobre inu“Inundación SYN” en la página 52.


defensa 26

dejarla activada (su estado l comando siguiente: set flow chaza los segmentos TCP con


Si no necesita desactivar la comprobación de SYN, Juniper Networks le recomiendapredeterminado en una instalación inicial de ScreenOS 5.1.0). Puede activarla con etcp-syn-check . Con la comprobación de SYN habilitada, el dispositivo NetScreen reflags no SYN activados, salvo que pertenezcan a una sesión establecida.


defensa 27

cción de origen falsa en el able. Esta técnica se conoce ne de dos métodos con el icada en el encabezado. El o en la capa 2 del modelo OSI.

de ruta o en modo NAT, el de la tabla de rutas. Si, por , pero el dispositivo NetScreen antación de IP detectará que n de la tabla de rutas un et1, no de ethernet3. Así, el a y la descarta.

Interfaz Puerta de enlace

P

eth1 0.0.0.0 C

otección contra suplantación de IP a en la zona Untrust, el dispositivo

comprueba si 10.1.1.6 es una de origen válida para los paquetes

a ethernet3.

Tabla de rutas


Suplantación de IPUn método para intentar acceder a un área restringida de la red es insertar una direencabezado del paquete para que parezca que procede de un lugar de origen conficomo suplantación de IP (IP Spoofing). Para detectar esta técnica, NetScreen dispomismo objetivo: determinar si el paquete procede de una ubicación distinta de la indmétodo que utilizará el dispositivo NetScreen dependerá de si funciona en la capa 3

• Capa 3: cuando las interfaces del dispositivo NetScreen funcionan en modomecanismo para detectar la suplantación de IP dependerá de las entradas ejemplo, un paquete con la dirección IP de origen 10.1.1.6 llega a ethernet3tiene una ruta a 10.1.1.0/24 a través de ethernet1, la comprobación de suplesta dirección ha llegado a una interfaz no válida, ya que según la definiciópaquete válido procedente de 10.1.1.6 sólo puede llegar a través de etherndispositivo concluye que el paquete es una dirección IP de origen suplantad

Subred: 10.1.1.0/24

Zona Trust

Zona Untrust

ethernet1 10.1.1.1/24

ethernet3 1.1.1.1/24

Paquete IP con IP origen 10.1.1.6

ID Prefijo IP

1 10.1.10/24

X

1. Un paquete IP llega a ethernet3. Su dirección IP de origen es 10.1.1.6.

2. Como la prestá activadNetScreen dirección IPque llegan

3. Si al consultar la tabla de rutas observa que 10.1.1.6 no es una dirección IP de origen válida para un paquete que llega a ethernet3, el dispositivo NetScreen rechazará el paquete.

1

23


defensa 28

l dispositivo NetScreen permite o permite). Si utiliza el siguiente de proceden los paquetes),

dirección IP de origen no se

sparente, el mecanismo de irecciones. Por ejemplo, ha i un paquete con la dirección IP omprobación de suplantación irección pertenece a la zona 2, que es la interfaz asociada a en suplantada y la descarta.

Dirección Máscara de red1.2.2.5 255.255.255.255

cción contra suplantación de IP está zona V1-Untrust, el dispositivo

prueba si 1.2.2.5 es una dirección IP a para los paquetes procedentes de trust.

zona de dirección: V1-DMZ


Si la dirección IP de origen de un paquete no aparece en la tabla de rutas, esu paso de forma predeterminada (asumiendo que existe una directiva que lcomando CLI (donde la zona de seguridad especificada será la zona de donpuede hacer que el dispositivo NetScreen descarte cualquier paquete cuya incluya en la tabla de rutas:

set zone zone screen ip-spoofing drop-no-rpf-route

• Capa 2: si las interfaces del dispositivo NetScreen funcionan en modo trancomprobación de suplantación de IP utilizará las entradas de la libreta de ddefinido una dirección para “serv A” como 1.2.2.5/32 en la zona V1-DMZ. Sde origen 1.2.2.5 llega a una interfaz de la zona V1-Untrust (ethernet3), la cde IP detectará que esta dirección ha llegado a una interfaz incorrecta. La dV1-DMZ y no a la zona V1-Untrust, por lo que sólo se aceptaría en ethernetV1-DMZ. El dispositivo concluye que el paquete es una dirección IP de orig

Subred: 1.2.2.0/24

Zona V1-DMZ

Zona V1-Untrust

ethernet2 0.0.0.0/0

ethernet3 0.0.0.0/0

Paquete IP con IP origen 10.2.2.5

Nombreserv A

X

2. Como la proteactivada en laNetScreen comde origen válidla zona V1-Un

1. Un paquete IP llega procedente de la zona V1-Untrust. Su dirección IP de origen es 10.2.2.5.

3. Si al consultar la libreta de direcciones observa que 1.2.2.5 no es una dirección IP de origen válida para un paquete procedente de la zona V1-Untrust, el dispositivo NetScreen rechazará el paquete.

12

3

Nombre de

serv A1.2.2.5


defensa 29

de seguridad. En la ilustración -DMZ. Si configura el áfico procedente de la zona

ión de la zona V1-DMZ hacia v1-untrust any any any

ed 1.2.2.0/24, cuando el tráfico lantación de IP consultará la secuencia, el dispositivo


Tenga cuidado al definir direcciones para la subred que abarca varias zonasanterior, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust como a la zona V1dispositivo NetScreen tal y como se describe a continuación, bloqueará el trV1-DMZ cuyo paso desea permitir:

– Ha definido una dirección para 1.2.2.0/24 en la zona V1-Untrust.

– Dispone de una directiva que permite el tráfico desde cualquier direcccualquier dirección de la zona V1-Untrust ( set policy from v1-dmz topermit ).

– Habilita la comprobación de suplantación de IP.

Como las direcciones de la zona V1-DMZ también se encuentran en la subrprocedente de esas direcciones llegue a ethernet2, la comprobación de suplibreta de direcciones y encontrará 1.2.2.0/24 en la zona V1-Untrust. En conNetScreen bloqueará el tráfico.


defensa 30

zonas Trust, DMZ y Untrust , el dispositivo NetScreen as en las direcciones IP de

cir manualmente las siguientes

pero no indica estas tres rutas, a columna “Destino” e insertará con la dirección de origen ethernet1, el dispositivo cartará.tamiento trust-vr.

0.0.0.0/0

st

r


Ejemplo: Protección contra suplantación de IP en la capa 3En este ejemplo habilitará la protección contra suplantación de direcciones IP en laspara un dispositivo NetScreen que funciona en la capa 3. De forma predeterminadarealiza entradas automáticamente en la tabla de rutas para las subredes especificadinterfaz. Además de estas entradas automáticas en la tabla de rutas, deberá introdutres rutas:

Si habilita la opción SCREEN para protección contra suplantación de direcciones IPel dispositivo NetScreen descartará todo tráfico de las direcciones que aparecen en llas alarmas correspondientes en el registro de eventos. Por ejemplo, si un paquete 10.1.2.5 llega a ethernet1 y no hay ninguna ruta a la subred 10.1.2.0/24 a través deNetScreen determinará que ese paquete ha llegado a una interfaz no válida y lo desTodas las zonas de seguridad de este ejemplo se encuentran en el dominio de enru

Destino: Interfaz de salida: Siguiente puerta de enlace:

10.1.2.0/24 ethernet1 10.1.1.250

1.2.3.0/24 ethernet2 1.2.2.250

0.0.0.0/0 ethernet3 1.1.1.250

ethernet110.1.1.1/24

ethernet21.2.2.1/24

ethernet31.1.1.1/24

Enrutador10.1.1.250

Enrutador1.2.2.250

1.2.2.0/241.2.3.0/24

1.1.1.0/2410.1.1.0/2410.1.2.0/24

Zona Trust Zona Untru

Zona DMZ

Enrutado1.1.1.250


efensa 31

haga clic en Apply :

K :

haga clic en OK :

haga clic en OK :

datos y haga clic en OK :


WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y

Zone Name: Trust

Static IP: (seleccione esta opción si es posible)

IP Address/Netmask: 10.1.1.1/24

Introduzca los siguientes datos y haga clic en O

Interface Mode: NAT

Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y

Zone Name: DMZ



Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y

Zone Name: Untrust



2. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguientes

Network Address/Netmask: 10.1.2.0/24

Gateway: (seleccione)

Interface: ethernet1

Gateway IP Address: 10.1.1.250


defensa 32

es datos y haga clic en OK :


n y haga clic en Apply .

n y haga clic en Apply .

tion y haga clic en Apply .


Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient










3. Protección contra suplantación de IPScreening > Screen (Zone: Trust): Seleccione IP Address Spoof Protectio

Screening > Screen (Zone: DMZ): Seleccione IP Address Spoof Protectio

Screening > Screen (Zone: Untrust): Seleccione IP Address Spoof Protec


defensa 33

t1 gateway 10.1.1.2502 gateway 1.2.2.250 gateway 1.1.1.250


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Rutasset vrouter trust-vr route 10.1.2.0/24 interface etherneset vrouter trust-vr route 1.2.3.0/24 interface ethernetset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

3. Protección contra suplantación de IPset zone trust screen ip-spoofingset zone dmz screen ip-spoofingset zone untrust screen ip-spoofingsave


defensa 34

s IP en el tráfico originado en la tres servidores web de la zona

iera de las tres direcciones de la s direcciones de la libreta de e de la zona V1-Untrust hazará el paquete.

lic en OK :

lic en OK :


Ejemplo: Protección contra suplantación de IP en la capa 2En este ejemplo protegeremos la zona V1-DMZ contra la suplantación de direccionezona V1-Untrust. En primer lugar debemos definir las siguientes direcciones para losV1-DMZ:

• servA: 1.2.2.10

• servB: 1.2.2.20

• servC: 1.2.2.30

Ahora puede habilitar la protección en la zona V1-Untrust.

Si un atacante en la zona V1-Untrust intenta suplantar la dirección IP utilizando cualquzona V1-DMZ, el dispositivo NetScreen comprobará la dirección comparándola con ladirecciones. Cuando descubra que la dirección IP de origen en un paquete procedentpertenece a una dirección definida en la zona V1-Untrust. el dispositivo NetScreen rec

WebUI

1. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: servA

IP Address/Domain Name:


Zone: V1-DMZ

Objects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: servB



Zone: V1-DMZ


defensa 35

lic en OK :

ction y haga clic en Apply .



Address Name: servC



Zone: V1-DMZ

2. Protección contra suplantación de IPScreening > Screen (Zone: V1-Trust): Seleccione IP Address Spoof Prote

CLI

1. Direccionesset address v1-dmz servA 1.2.2.10/32set address v1-dmz servB 1.2.2.20/32set address v1-dmz servC 1.2.2.30/32

2. Protección contra suplantación de IPset zone v1-untrust screen ip-spoofingsave


fensa 36

n de paquetes IP, el usuario os”) a lo largo de la ruta que nes IP de ruta de origen era s. Por ejemplo, si la egular, puede utilizar la s enrutadores del itinerario o de origen estricta o de ruta cciones averiguadas iones de enrutador para nota de los cambios que roceso de eliminación, es

ión de A a B mediante los s 1 y 3 se realiza con éxito el ocasiones.

l enrutamiento de origen IP, fico a través de los s 2 y 3. La transmisión de A za con éxito el 50% de las

l enrutamiento de origen IP, A o a través de los enrutadores 1 y

isión de A a B se realiza con % de las ocasiones. Por lo tanto, uponer que el problema reside en r 3.


Opciones de IP de ruta de origenEl enrutamiento de origen ha sido diseñado para que, desde el origen de una transmisiópueda especificar las direcciones IP de los enrutadores (también conocidos como “saltdesee que un paquete IP siga para llegar a su destino. La intención original de las opcioofrecer herramientas de control de enrutamiento como ayuda al análisis de diagnósticotransmisión de un paquete a un destino en particular se realiza con un nivel de éxito irropción IP de marca de hora o de grabación de ruta para averiguar las direcciones de lolos itinerarios seguidos por el paquete. A continuación, puede utilizar la opción de rutade origen abierta para conducir el tráfico por un itinerario específico, utilizando las diremediante la opción IP de marca de hora o de grabación de ruta. Modificando las direcccambiar el itinerario y enviando diversos paquetes por distintos itinerarios puede tomarcontribuyen a aumentar o reducir las posibilidades de éxito. Mediante el análisis y un pposible que pueda deducir dónde reside el problema.

1 3

2 4

1 3

2 4

1 3

2 4

La transmisenrutadore50% de las

A

A

A

B

B

B

Cuatro enrutadores

Itinerario del paquete

Mediante eA envía tráenrutadorea B se realiocasiones.

Mediante eenvía tráfic4. La transméxito el 100podemos sel enrutado

Opciones IP de ruta de origen para diagnóstico


nsa 37

hackers han aprendido a en emplear para ocultar la una ruta distinta. A

en práctica estos engaños.

t1, una interfaz asociada a s 1 y 2 no lo hacen. ta la dirección de origen y, asta la red 2.2.2.0/24 y, l dispositivo NetScreen. esa subred, aparece como rta. En este ejemplo, ha do el paquete llega a

.1.5ntrust to trust TP permit

t

10.1.1.0/24

Servidor HTTP 10.1.1.5

N para la zona Untrust e Route Option”.escarta el paquete.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y defe

Aunque la aplicación de las opciones IP de ruta de origen era benigna originalmente, losutilizar estas opciones con malas intenciones. Las opciones IP de ruta de origen se pueddirección auténtica del atacante y acceder a áreas restringidas de una red especificandocontinuación se incluye un ejemplo en el que se muestra cómo un atacante puede poner

El cortafuegos de NetScreen sólo permite el tráfico 2.2.2.0/24 si pasa a través de ethernela zona Untrust. Los enrutadores 3 y 4 fuerzan el control de acceso, pero los enrutadoreAdemás, el enrutador 2 no comprueba la posible suplantación de IP. El atacante suplanal utilizar la opción de ruta de origen abierta, dirige el paquete a través del enrutador 2 hdesde allí, al enrutador 1. Éste reenvía el paquete al enrutador 3, que lo reenvía hasta eComo el paquete procede de la subred 2.2.2.0/24 y contiene una dirección de origen de válido. Sin embargo, hay algo clave que aún no cuadra: la opción de ruta de origen abiehabilitado la opción SCREEN “Deny IP Source Route Option” para la zona Untrust. Cuanethernet3, el dispositivo NetScreen lo rechaza.

Atacante

Cuatro enrutadores

Itinerario del paquete

Información del paqueteDirección de origen real: 6.6.6.5Dirección de origen simulada: 2.2.2.5Dirección de destino: 1.1.1.5IP de ruta de origen abierta: 6.6.6.250, 2.2.2.250

2.2.2.0/24

IP asignada: 1.1.1.5 - 10.1Directiva: set policy from u2.2.2.0/24 MIP(1.1.1.5) HT

ethernet31.1.1.1/24

Zona Untrust

ethernet110.1.1.1/24Zona Trus1

2

3

4

Sin comprobación de suplantación de IP

Sin control de acceso

Opción IP de ruta de origen abierta para un acceso

malicioso

Entre las opciones SCREEse incluye “Deny IP SourcEl dispositivo NetScreen d


defensa 38

opciones de ruta de origen lista de contadores para la

ctive esta opción para bloquear Las opciones de ruta de origen P falsa.

en abierta): El dispositivo uting) y registra el evento en la ifica una lista de rutas parcial stino. El paquete debe avanzar enrutadores intermedios.

en estricta): El dispositivo uting) y registra el evento en la ifica la lista de rutas completa stino. La última dirección de la

nocimiento de red mediante

a, utilice uno de los siguientes ete):

ource Route Option Filter y


El dispositivo NetScreen se puede habilitar para que bloquee cualquier paquete conabiertas o estrictas o para que los detecte y, a continuación, registre el evento en lainterfaz de entrada. A continuación se ofrecen las opciones SCREEN:

• Deny IP Source Route Option (denegar opción de ruta de origen IP): Atodo el tráfico IP que emplee la opción de rutas de origen abierta o estricta. pueden llegar a permitir a un atacante entrar en una red con una dirección I

• Detect IP loose Source Route option (detectar opción IP de ruta de origNetScreen detecta paquetes en los que la opción IP sea 3 (Loose Source Rolista de contadores SCREEN para la interfaz de entrada. Esta opción especque debe tomar un paquete en su trayecto desde el punto de origen al de deen el orden de direcciones especificado, pero se le permite atravesar otros

• Detect IP strict Source Route option (detectar opción IP de ruta de origNetScreen detecta paquetes en los que la opción IP sea 9 (Strict Source Rolista de contadores SCREEN para la interfaz de entrada. Esta opción especque debe tomar un paquete en su trayecto desde el punto de origen al de delista sustituye a la dirección del campo de destino.

(Para obtener más información sobre todas las opciones IP, consulte “Recoopciones IP” en la página 12).

Para bloquear paquetes con la opción IP de ruta de origen abierta o estricta ajustadmétodos (la zona de seguridad especificada es la zona en la que se originó el paqu

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP Shaga clic en Apply .

CLI

set zone zone screen ip-filter-src


defensa 39

igen abierta o estricta ajustada, en la que se originó el paquete):


leccione)

ccione)


Para detectar y registrar (pero no bloquear) paquetes con la opción IP de ruta de orutilice uno de los siguientes métodos (la zona de seguridad especificada es la zona

WebUI


IP Loose Source Route Option Detection: (se

IP Strict Source Route Option Detection: (sele

CLI

set zone zone screen ip-loose-src-routeset zone zone screen ip-strict-src-route


defensa 40

3

y defensa 41

Capítulo 3

gación

potencial con tal cantidad de procesar el tráfico legítimo. El s accesos controla el

un determinado host.mo ataque distribuido de irección de origen de un ataque e DDoS pueden ser direcciones el atacante y que éste utiliza

o como a los recursos que onibles:


Defensas contra los ataques de denede servicio

La intención de un ataque de denegación de servicio (DoS) es abrumar a la víctimatráfico simulado que se sature intentando procesar el tráfico fantasma y no consigadestino del ataque puede ser el cortafuegos de NetScreen, los recursos de red cuyocortafuegos o la plataforma de hardware o el sistema operativo específico (OS) de Cuando un ataque DoS se origina en múltiples direcciones de origen, se conoce codenegación de servicio (“Distributed Denial-of-Service” o DDoS). Normalmente, la dDoS es una dirección suplantada (“spoofed”). Las direcciones de origen de un ataqusuplantadas o bien las direcciones reales de hosts previamente comprometidos porahora como “agentes zombie” para ejecutar su ataque.El dispositivo NetScreen puede defenderse de ataques DoS y DDoS tanto a sí mismprotege. Las siguientes secciones describen las diversas opciones de defensa disp

• “Ataques DoS contra el cortafuegos” en la página 42– “Inundación de la tabla de sesiones” en la página 42– “Inundación proxy SYN-ACK-ACK” en la página 50

• “Ataques DoS contra la red” en la página 52– “Inundación SYN” en la página 52– “Inundación ICMP” en la página 67– “Inundación UDP” en la página 69– “Ataque terrestre (“Land Attack”)” en la página 71

• “Ataques DoS específicos de cada sistema operativo” en la página 73– ““Ping of Death”” en la página 73– “Ataque “Teardrop”” en la página 75– “WinNuke” en la página 77

Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra el cortafuegos

defensa 42

un ataque de denegación de uentra detrás. Un ataque DoS ontra la red protegida, ción se explican dos métodos creen y, de ese modo, producir

o falso que le impide procesar as (inundación SYN,

siguen el mismo objetivo: llenar no puede crear ninguna sesión e SCREEN ayuda a atenuar

cción IP de origen, también se tino. Una ventaja de establecer del virus Nimda (que realmente ntidades masivas de tráfico. límite de sesión basado en su

xcesivas de tráfico.


ATAQUES DOS CONTRA EL CORTAFUEGOSSi un atacante descubre la presencia del cortafuegos de NetScreen, puede ejecutarservicio (DoS) contra ese dispositivo, en lugar de intentar atacar a la red que se encque tenga éxito contra un cortafuegos desembocará en otro ataque DoS con éxito cfrustrando los intentos del tráfico legítimo para atravesar el cortafuegos. En esta secque un atacante puede utilizar para llenar la tabla de sesiones de un dispositivo NetSuna DoS: Inundación de la tabla de sesiones e Inundación proxy SYN-ACK-ACK.

Inundación de la tabla de sesionesUn ataque DoS acertado abruma a su víctima con una cantidad tan ingente de tráficlas peticiones de conexión legítimas. Los ataques DoS pueden adoptar muchas forminundación SYN-ACK-ACK, inundación UDP, inundación ICMP, etc.), pero todos perla tabla de sesiones de su víctima. Cuando la tabla de sesiones se llena, el host ya nueva y comienza a rechazar nuevas peticiones de conexión. La siguiente opción desos ataques:

• Límites de sesiones según sus orígenes y destinos

• Envejecimiento agresivo

Límites de sesiones según sus orígenes y destinosAdemás de limitar el número de sesiones simultáneas procedentes de la misma direpuede limitar el número de sesiones simultáneas hacia la misma dirección IP de desun límite de sesión basado en su origen es que permite contener un ataque como el es un virus y un gusano a la vez), que infecta un servidor y lo utiliza para generar caDado que todo el tráfico generado por un virus procede de la misma dirección IP, unorigen garantiza que el cortafuegos de NetScreen pueda retener tales cantidades e


defensa 43

intentos ilegítimos de llenar la edan de la misma dirección IP denegación de servicio

osts, conocidos como “agentes opciones de detección de de sesión basado en su destino ptable de peticiones de

úmero de sesiones del servidor infectado alcanza imo, el dispositivo NetScreen bloquear todos los intentos de bsiguientes de ese servidor.


Otra ventaja de limitar una sesión basándose en su origen es reducir el número de tabla de sesiones de NetScreen (siempre que todos esos intentos de conexión procde origen). Sin embargo, un atacante astuto podría ejecutar un ataque distribuido de(DDoS). En un ataque DDoS, el tráfico malévolo puede proceder de centenares de hzombie”, que están subrepticiamente bajo el control de un atacante. Además de lasinundaciones SYN, UDP e ICMP y de prevención SCREEN, estableciendo un límite se puede garantizar que el dispositivo NetScreen admita solamente un número aceconexión simultáneas (sin importar su origen) para alcanzar cualquier host.

…

Zona Untrust

Zona DMZ Servidor

infectado

Cuando el nsimultáneasel límite máxcomienza a conexión su

Limitación de sesiones según su origen: Contención del tráfico del virus/gusano Nimda

Un servidor web se infecta con el híbrido del virus/gusano Nimda, que lo utiliza para generar cantidades excesivas de tráfico.


defensa 44

do de observación y análisis icos. También se debe tener en e sesiones de la plataforma

itido por su tabla de sesiones, que se indica el número de aciones de sesión infructuosas:

stino es de 128 sesiones pecíficas de su entorno de red

es según su destino:n de servicio distribuido

iones simultáneas al el límite máximo, el quea cualquier iguiente a esa

Atacante

Zona Untrust

Zona DMZ

Servidor web


Determinar cuál es el número aceptable de peticiones de conexión requiere un periopara establecer una base de referencia con la que determinar los flujos de tráfico típcuenta el número máximo de sesiones simultáneas requeridas para llenar la tabla dNetScreen que se esté utilizando. Para consultar el número máximo de sesiones admejecute el comando CLI get session y observe la primera línea del resultado, en lasesiones (asignadas) actuales, el número máximo de sesiones y el número de asign

alloc 420/max 128000, alloc failed 0

El máximo predeterminado para los límites de sesiones según su origen y en su desimultáneas, un valor que puede requerir ajustes para satisfacer las necesidades esy plataforma.

Limitación de sesiones según su origen:Ataque de denegación de servicio

Atacante

Host inexistenteIP origen: 6.6.6.6

Servidor web

Zona Untrust

Zona DMZ

Limitación de sesionAtaque de denegació

Cuando el número de sesservidor web sobrepasa dispositivo NetScreen blointento de conexión subsdirección IP.

Agentes zombie

Cuando el número de sesiones simultáneas procedentes de 6.6.6.6 sobrepasa el límite máximo, el dispositivo NetScreen bloquea cualquier conexión subsiguiente de esa dirección IP.


defensa 45

DMZ y Trust puede iniciar. ebería iniciar tráfico, or otra parte, la zona Trust chos de los cuales inician o de 80 sesiones simultáneas.

ic en OK :

ic en OK :


Ejemplo: Limitación de sesiones según su origenEn este ejemplo limitará el número de sesiones que cualquier servidor de las zonasDado que la zona DMZ solamente contiene servidores web, ninguno de los cuales destablecerá el límite de sesiones de origen en el valor más bajo posible: 1 sesión. Pcontiene computadoras personales, servidores, impresoras y otros dispositivos, mutráfico. Para la zona Trust, establecerá el límite de sesiones de origen en un máxim

WebUI

Screening > Screen (Zone: DMZ): Introduzca los siguientes datos y haga cl

Source IP Based Session Limit: (seleccione)

Threshold: 1 Sessions

Screening > Screen (Zone: Trust): Introduzca los siguientes datos y haga cl

Source IP Based Session Limit: (seleccione)


CLI

set zone dmz screen limit-session source-ip-based 1set zone dmz screen limit-session source-ip-basedset zone trust screen limit-session source-ip-based 80set zone trust screen limit-session source-ip-basedsave


defensa 46

dirección 1.2.2.5. El servidor se st a este servidor durante un 000. De acuerdo con esta

áneas. Aunque sus ite, opta por garantizar la

clic en OK :

ne)

ed 4000ed

una sesión TCP tarda 20 sesión TCP, el valor del tiempo son de 5 minutos y 1 minuto, tualiza cada 10 segundos 10 segundos, el temporizador


Ejemplo: Limitación de sesiones según su destinoEn este ejemplo, desea limitar la cantidad de tráfico dirigido a un servidor web en la encuentra en la zona DMZ. Después de observar el flujo de tráfico de la zona Untrumes, ha determinado que el número medio de sesiones simultáneas que recibe es 2información, decide establecer el nuevo límite de sesiones en 4000 sesiones simultobservaciones muestran que durante los picos de tráfico a veces se excede ese límseguridad del cortafuegos a costa de alguna inaccesibilidad ocasional del servidor.

WebUI

Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga

Destination IP Based Session Limit: (seleccio


CLI

set zone untrust screen limit-session destination-ip-basset zone untrust screen limit-session destination-ip-bassave

Envejecimiento agresivoDe forma predeterminada, el establecimiento de comunicación inicial en 3 fases de segundos en caducar (es decir, en expirar por inactividad). Una vez establecida unade espera cambia a 30 minutos. Para sesiones HTTP y UDP, los tiempos de esperarespectivamente. El temporizador de cada sesión se inicia al comenzar ésta y se acmientras la sesión permanece activa. Si una sesión queda inactiva durante más de comienza la cuenta atrás.


defensa 47

a cuando el número de o el número de sesiones cae e a su estado normal. Mientras rimero el envejecimiento de las icada. Estas sesiones de rrido de basura”, que ocurre

s de las sesiones en la unidades, donde cada unidad ivo puede tener un valor de 20 undos. Si, por ejemplo, s de espera de sesiones HTTP

(30 minutos) a 1700 segundos . Durante ese periodo, el o valor de tiempo de espera uas.

ormales de los tiempos de espera de iones UDP). Sin embargo, cuando se nvejecimientos prematuros en lugar

��

15 10 5 0

00 600 300 0


NetScreen proporciona un mecanismo para acelerar el proceso del tiempo de espersesiones en la tabla de sesiones sobrepasa un umbral superior especificado. Cuandpor debajo de un umbral inferior especificado, el proceso del tiempo de espera vuelvel proceso de envejecimiento agresivo esté activo, el dispositivo NetScreen forzará psesiones más antiguas, aplicándoles la tasa de envejecimiento previamente especifenvejecimiento forzado se marcan como no válidas y se eliminan en el siguiente “bacada 2 segundos.

La opción de envejecimiento agresivo reduce los tiempos de espera predeterminadomagnitud introducida1. El valor de envejecimiento agresivo puede estar entre 2 y 10representa un intervalo de 10 segundos (es decir, el ajuste de envejecimiento agresa 100 segundos). El ajuste predeterminado es de 2 unidades, equivalentes a 20 segestablece el ajuste de envejecimiento agresivo en 100 segundos, acortará los tiempoy TCP de la siguiente manera:

• TCP: El valor del tiempo de espera de la sesión se acorta de 1800 segundos(28:20 minutos) mientras el proceso de envejecimiento agresivo está activodispositivo NetScreen elimina automáticamente todas las sesiones TCP cuyhaya superado los 1700 segundos, comenzando por las sesiones más antig

1. Al establecer y habilitar la opción de envejecimiento agresivo, en la configuración seguirán apareciendo los valores ncada tipo de sesión (1800 segundos para sesiones TCP, 300 segundos para sesiones HTTP y 60 segundos para sesactiva el periodo de envejecimiento agresivo, estas sesiones caducan antes (aplicando el tiempo especificado para ede la cuenta atrás hasta cero).

��

30 25 20

1800 1500 1200 9Seg

MinTiempo espera predeterminado en sesión TCP: 30 min (1800 seg)Envejecimiento agresivo = 10 (predeterminado - 100 seg):

28:20 Mins (1700 Secs)


defensa 48

s (5 minutos) a 200 segundos Durante ese periodo, el yo valor de tiempo de espera as.

de 60 segundos, definiendo un las sesiones UDP envejezcan

��

3 2 1 0

80 120 60 0


• HTTP: El valor del tiempo de espera de la sesión se acorta de 300 segundo(3:20 minutos) mientras el proceso de envejecimiento agresivo está activo. dispositivo NetScreen elimina automáticamente todas las sesiones HTTP cuhaya superado los 200 segundos, comenzando por las sesiones más antigu

• UDP: Dado que el tiempo de espera predeterminado de una sesión UDP esajuste de envejecimiento prematuro de 100 segundos se provoca que todasy queden marcadas para su eliminación en el siguiente “barrido de basura”.

��

5 4

300 240 1Seg

MinTiempo de espera predeterminado de la sesión HTTP: 5 min (300 seg)

Envejecimiento agresivo = 10 (predeterminado - 100 seg): 3:20 Mins (200 Secs)


defensa 49

uando el tráfico supere un l 70%. Especificará 40 e llena más del 80% (el umbral das las sesiones y comienza a úmero de sesiones en la tabla

nterfaz de línea de comandos

ral superior

ral inferior

Envejecimiento agresivo

(- 40 seg de envejecimiento

forzado)

,


Ejemplo: Forzar el envejecimiento agresivo de sesionesEn este ejemplo establecerá que el proceso de envejecimiento agresivo comience cumbral superior del 80% y finalice cuando caiga por debajo de un umbral inferior desegundos como intervalo de envejecimiento agresivo. Cuando la tabla de sesiones ssuperior), el dispositivo NetScreen reduce en 40 segundos el tiempo de espera de toforzar agresivamente el envejecimiento de las sesiones más antiguas hasta que el ncae por debajo del 70% (el umbral inferior).

WebUI

CLI

set flow aging low-watermark 70set flow aging high-watermark 80set flow aging early-ageout 4save

Nota: Para configurar los ajustes de envejecimiento agresivo debe usar la i(CLI).

100%

80%

70%

0%

Umb

Umb

Sesiones

Capacidad de la tabla de sesiones Cuando el número de sesiones supera la capacidad del 80%

se activa el mecanismo de envejecimiento agresivo.

Se fuerza el envejecimiento de las sesiones hasta que su número cae por debajo del 70%. En ese momento, el mecanismo de envejecimiento agresivo se detiene.


defensa 50

mento SYN al servidor Telnet o a entrada en su tabla de sponde entonces con un ación en 3 fases. El dispositivo malévolo continúa iniciando reen puede llenarse hasta el

Servidor Telnet o FTP

Zona Trust

a de sesiones de creen: Muchos recursos

onibles

bla de sesiones se está ndo.

bla de sesiones está .


Inundación proxy SYN-ACK-ACKCuando un usuario de autenticación inicia una conexión Telnet o FTP, envía un segFTP correspondiente. El dispositivo NetScreen intercepta el segmento SYN, crea unsesiones y envía al usuario un segmento SYN-ACK a través del proxy. El usuario resegmento ACK. En ese momento se completa el establecimiento inicial de comunicNetScreen envía al usuario un mensaje de petición de inicio de sesión. Si el usuariosesiones SYN-ACK-ACK en lugar de iniciar la sesión, la tabla de sesiones de NetScpunto en que el dispositivo comience a rechazar peticiones de conexión legítimas.

��

SYN

ACK

Nombre: ?Contraseña: ?

SYN/ACK2. El dispositivo

NetScreen envía un segmento SYN/ACK a través del proxy.

4. El dispositivo NetScreen solicita al cliente (usuario de autenticación) que inicie una sesión.

SYN

1. El cliente envía un segmento SYN al servidor.

Cliente Telnet o FTP(usuario de

autenticación)

Zona Untrust

3. El cliente responde con un segmento ACK.

5. El cliente ignora el mensaje de petición de inicio de sesión y sigue repitiendo los pasos 1 a 4 hasta llenar la tabla de sesiones de NetScreen.

SYN

1

3

2

4

5

TablNetSdisp

La tallena

La tallena6

6. Al estar la tabla de sesiones completa, el dispositivo NetScreen debe rechazar todas las demás peticiones de conexión.

.

.

.

SYN/ACK

ACK

Nombre: ?Contraseña: ?


defensa 51

-ACK del proxy. Cuando el e SYN-ACK-ACK del proxy, el cción IP. De forma Puede cambiar este umbral (a torno de red.

cualquiera de los siguientes e:


)

r la protección contra la

nes de una determinada dirección IP.


Para frustrar tal ataque, puede habilitar la opción SCREEN de protección SYN-ACKnúmero de conexiones procedentes de una misma dirección IP alcanza el umbral ddispositivo NetScreen rechaza las peticiones de conexión subsiguientes de esa direpredeterminada, el umbral es de 512 conexiones de una determinada dirección IP. cualquier número entre 1 y 250.000) para adaptarse mejor a los requisitos de su en

Para habilitar la protección contra una inundación SYN-ACK-ACK del proxy, ejecuteprocedimientos, donde la zona especificada es aquélla en la que se origina el ataqu

WebUI


SYN-ACK-ACK Proxy Protection: (seleccione

Threshold: (introduzca un valor para activainundación SYN-ACK-ACK del proxy2)

CLI

set zone zone screen syn-ack-ack-proxy threshold numberset zone zone screen syn-ack-ack-proxy

2. La unidad de este valor se expresa en conexiones por dirección de origen. El valor predeterminado es de 512 conexio

Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS contra la red

defensa 52

red inunda el destino con una ndiendo del objetivo del mento, el atacante puede hosts de forma aleatoria en la o a un solo host o a la red contexto de su red.

N que inician peticiones de timas.

nocido como establecimiento de SYN; A responde con un e contienen direcciones IP de responde enviando segmentos entos SYN/ACK se envían a

uperar el tiempo de espera.

tráfico entrante, el dispositivo mentos SYN. La víctima ntos SYN/ACK a la dirección IP ndo a la espera de respuesta ucan.

LAN protegida

El búfer de memoria de la víctima comienza a llenarse.


ATAQUES DOS CONTRA LA REDUn ataque de denegación de servicio (DoS) dirigido contra unos o más recursos decantidad abrumadora de paquetes SYN, ICMP o UDP, o de fragmentos SYN. Depeatacante y del nivel y éxito de los esfuerzos de prevención realizados hasta ese moseleccionar un host específico, como un enrutador o un servidor, o bien seleccionarred atacada. Cualquiera de las dos tácticas tiene el potencial de trastornar el servicientera, dependiendo de la importancia del papel desempeñado por la víctima en el

Inundación SYNUna inundación SYN ocurre cuando un host resulta tan saturado con segmentos SYconexión irrealizables que le resulta imposible procesar peticiones de conexión legí

Dos hosts establecen una conexión TCP con triple intercambio de segmentos TCP, coconexión en tres fases: A envía un segmento SYN a B; B responde con un segmentosegmento ACK. Un ataque de inundación SYN inunda un sitio con segmentos SYN quorigen falsificadas (“suplantadas” o “spoofed”), es decir, inexistentes o inalcanzables. BSYN/ACK a estas direcciones y espera segmentos ACK de respuesta. Como los segmdirecciones IP inexistentes o inalcanzables, nunca obtienen respuesta y acaban por s

El host en 2.2.2.5 envía segmentos SYN en paquetes IP con direcciones de origen suplantadas.

Si una directiva permite elNetScreen permite los segresponde enviando segmede origen simulada, quedahasta que los intentos cad

Dirección IPreal

2.2.2.5

Dirección IP inexistente oinalcanzable

SYNSYN/ACK?

?

?

?

SYN

SYN

SYN

SYN/ACK

SYN/ACK

SYN/ACK

3.3.3.5

4.4.4.20

5.5.5.10

6.6.6.3


nsa 53

el búfer de memoria de la onexión TCP. La

ataque inhabilita a la

que se permite atravesar n de destino y el puerto,

ando el número de icia el procesamiento de almacenando las ión incompletas ucado. En la ilustración nzado a procesar

LAN protegida

La cola de conexiones procesada por proxy del dispositivo NetScreen comienza a llenarse.

El búfer de memoria de la víctima deja de llenarse.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y defe

Inundando un host con conexiones TCP no completables, el atacante acabará por llenarvíctima. Cuando este búfer se llena, el host ya no puede procesar nuevas peticiones de cinundación puede incluso dañar el sistema operativo de la víctima. En cualquier caso, el víctima y sus operaciones normales.

Protección contra inundaciones SYNLos dispositivos NetScreen pueden imponer un límite al número de segmentos SYN a losel cortafuegos cada segundo. Puede definir el umbral de ataque en función de la direcciósólo en función de la dirección de destino o sólo en función de la dirección de origen. Cusegmentos SYN por segundo supera uno de estos umbrales, el dispositivo NetScreen insegmentos SYN entrantes mediante el proxy, respondiendo con segmentos SYN/ACK y peticiones de conexión incompletas en una cola de conexiones. Las peticiones de conexpermanecen en la cola hasta que la conexión se haya completado o la petición haya cadsiguiente, se ha atravesado el umbral de ataque SYN y el dispositivo NetScreen ha comesegmentos SYN mediante el proxy.

��

El host con la dirección 2.2.2.5 continúa enviando segmentos SYN en paquetes IP con direcciones de origen suplantadas.

Cuando el número de segmentos SYN procedentes de una misma dirección de origen o dirigidos a la misma dirección de destino alcanza un umbral especificado, el dispositivo NetScreen comienza a interceptar las peticiones de conexión y a procesar los segmentos SYN/ACK mediante el proxy.

Dirección IP real2.2.2.5

SYNSYN/ACK?

?

?

?

SYN/ACK

— Umbral de ataque SYN —

.

.

.

SYNSYN/ACK

SYN

SYN

SYN/ACK


7.7.7.11

8.8.8.8

9.9.9.22

2.2.2.4

3.3.3.25


sa 54

ente y el dispositivo red protegida contra el

roxy cae por debajo del

a de un umbral fico para el que no exista

LAN protegida

La cola de conexiones procesada por proxy del dispositivo NetScreen está llena.

El búfer de memoria de la víctima recupera su estado normal.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 4: Mecanismos de detección de ataques y defen

En la siguiente ilustración, la cola de conexiones procesada por proxy se ha llenado totalmNetScreen rechaza nuevos segmentos SYN entrantes. Esta acción blinda los hosts de la bombardeo de establecimientos de conexión en tres fases incompletos.

El dispositivo NetScreen inicia la recepción de nuevos paquetes SYN cuando la cola del plímite máximo.

Nota: El procedimiento de procesar por proxy las conexiones SYN incompletas por encimestablecido afecta solamente al tráfico permitido por las directivas existentes. Cualquier tráuna directiva se descarta automáticamente.

��

— Umbral de ataque SYN —

��

— Umbral de alarma —

El host con la dirección 2.2.2.5 continúa enviando segmentos SYN en paquetes IP con la dirección de origen suplantada 3.3.3.5.

Dirección IPreal

2.2.2.5


3.3.3.5

?

?

SYN/ACK

.

.

.

��

— Limite máximo de la cola de conexiones procesada por proxy —

SYN El dispositivo NetScreen intercepta los segmentos SYN y procesa por proxy las respuestas SYN/ACK hasta que la cola de conexiones procesada por proxy se llena.

El dispositivo NetScreen rechaza nuevos segmentos SYN de todas las direcciones de la misma zona de seguridad.

Segmento SYN de otra dirección de la misma zona de seguridad.

SYN

SYN

SYN/ACK

El dispositivo NetScreen introduce una alarma en el registro de eventos.


defensa 55

parámetros, ejecute cualquiera ede originarse una inundación:


itar)ntos SYN (es decir, de ) requeridos por segundo para

de SYN por proxy3) peticiones de conexión TCP nerar una alarma en el registro

e paquetes SYN por segundo n IP que se requiere para que azar nuevas peticiones de

ro de paquetes SYN por cción IP que se requiere para

rechazar nuevas peticiones de

egundos que el dispositivo ión TCP incompleto en la cola

iones de conexión TCP en la cola de conexiones ositivo NetScreen comience a

e CLI.


Para habilitar la opción SCREEN de protección contra inundaciones SYN y definir susde los siguientes procedimientos, donde la zona especificada es aquélla en la que pu

WebUI


SYN Flood Protection: (seleccione para habilThreshold: (introduzca el número de segme

segmentos TCP con el flag SYN activadoactivar el mecanismo de procesamiento

Alarm Threshold: (introduzca el número deprocesadas por proxy requeridas para gede eventos)

Source Threshold: (introduzca el número dprocedentes de una determinada direccióel dispositivo NetScreen comience a rechconexión de ese origen)

Destination Threshold: (introduzca el númesegundo dirigidos a una determinada direque el dispositivo NetScreen comience aconexión hacia ese destino)

Timeout Value: (introduzca la duración en sNetScreen mantiene un intento de conexde conexiones procesada por proxy)

Queue Size: (introduzca el número de peticprocesadas por proxy que se mantienen procesada por proxy antes de que el disprechazar nuevas peticiones de conexión)

3. Para obtener más detalles sobre cada uno de estos parámetros, consulte las descripciones en la siguiente sección d


defensa 56

establecer los siguientes

P con el flag SYN activado) r segundo para activar el el umbral en cualquier número, para establecer un umbral .000 segmentos SYN por do. Si un sitio más pequeño r el umbral en 40.

er

s procesadas por proxy por el registro de eventos. El valor por segundo de peticiones de cción de destino y número de YN en 2000 segmentos SYN YN por segundo dirigidos a la e alarma en el registro. Más

do que cumplen los requisitos

n el mismo segundo.

de conexión en ese mismo

r


CLIPara habilitar la protección contra inundaciones SYN:

set zone zone screen syn-flood

Para procesar por proxy las peticiones de conexión TCP inacabadas puedeparámetros:

Attack Threshold: El número de segmentos SYN (es decir, segmentos TCdirigidos a la misma dirección de destino y número de puerto requeridos pomecanismo de procesamiento de SYN por proxy. Aunque se puede ajustar es necesario conocer los patrones de tráfico habituales en cada instalaciónadecuado. Por ejemplo, en un sitio “e-business” que normalmente recibe 20segundo, conviene establecer un umbral de, por ejemplo, 30.000 por segunrecibe habitualmente 20 segmentos SYN por segundo, plantéese establece

set zone zone screen syn-flood attack-threshold numb

Alarm Threshold: El número de peticiones de conexión TCP semicompletasegundo que el dispositivo NetScreen espera para introducir una alarma enestablecido para un umbral de alarma dispara una alarma cuando el númeroconexión semicompletadas y procesadas por proxy dirigidas a la misma direpuerto supera ese valor. Por ejemplo, si se establece el umbral de ataque Spor segundo y la alarma en 1000, se requiere un total de 3001 segmentos Smisma dirección de destino y número de puerto para generar una entrada dprecisamente:

1. El cortafuegos deja pasar los primeros 2000 segmentos SYN por segunde las directivas.

2. El cortafuegos procesa por proxy los 1000 segmentos SYN siguientes e

3. La 1001ª petición de conexión procesada por proxy (o la 3001ª petición segundo) dispara la alarma.

set zone zone screen syn-flood alarm-threshold numbe


defensa 57

e destino que sobrepase el l final del segundo, el módulo

registro que indica cuántos o llegaron después de haberse undo, el registro de eventos

s SYN que deben recibirse por dirección IP y el número de rtar peticiones de conexión de

er

s parámetros de detección que destino. Cuando se establece ismo básico de protección nes SYN basado en sus

entos SYN por segundo que sitivo NetScreen comience a jecuta múltiples servicios,

destino, sin importar el número

number

ctivan tanto el mecanismo imiento de inundaciones SYN

ros parámetros de detección to de destino. Observe el caso izar peticiones FTP (puerto 21) ra inundaciones SYN es de


Por cada segmento SYN dirigido a la misma dirección y número de puerto dumbral de alarma, el módulo de detección de ataques genera un mensaje. Ade registro comprime todos los mensajes similares en una sola entrada del segmentos SYN dirigidos a la misma dirección y número de puerto de destinrebasado el umbral de alarma. Si el ataque persiste más allá del primer segintroduce una alarma cada segundo hasta que el ataque se detenga.

Source Threshold: Esta opción permite especificar el número de segmentosegundo de una determinada dirección IP de origen (sin tener en cuenta la puerto de destino) antes de que el dispositivo NetScreen comience a descaese origen.

set zone zone screen syn-flood source-threshold numb

El seguimiento de una inundación SYN por su dirección de origen utiliza otroel seguimiento de una inundación SYN por dirección y número de puerto deun umbral de ataque SYN y un umbral de origen, se activan tanto el mecancontra inundaciones SYN como el mecanismo de seguimiento de inundacioorígenes.

Destination Threshold: Esta opción permite especificar el número de segmpuede recibir una determinada dirección IP de destino antes de que el dispodescartar peticiones de conexión a ese destino. Cuando un host protegido econviene establecer un umbral basado exclusivamente en la dirección IP dede puerto de destino.

set zone zone screen syn-flood destination-threshold

Cuando se establece un umbral de origen SYN y un umbral de destino, se abásico de protección contra inundaciones SYN como el mecanismo de segubasado en sus destinos.

El seguimiento de una inundación SYN por su dirección de destino utiliza otque el seguimiento de una inundación SYN por dirección y número de puersiguiente, donde el dispositivo NetScreen tiene directivas que permiten realy peticiones HTTP (puerto 80) al mismo servidor. Si el umbral de ataque pa


efensa 58

9 paquetes HTTP por los paquetes que comparten ocesamiento de SYN por to de direcciones y números e 1000 paquetes por etScreen trata los paquetes onjunto y rechaza el 1001º

scartada de la cola. El valor gundos. Intente reducir el en condiciones normales de ara una respuesta ACK a un

se pueden retener en la cola ience a rechazar nuevas

dispositivo NetScreen en n procesada por proxy. Esto go, como el tiempo que debe muy superior al de cualquier irán una diferencia notable.

YN, procesa por proxy todas odo transparente no puede ino no está en su tabla de modo transparente que ha

AC desconocidas. Puede que contienen direcciones


1000 paquetes por segundo (pps) y un atacante envía 999 paquetes FTP y 99segundo, ninguno de ambos conjuntos de paquetes (entendiendo por conjuntola misma dirección y número de puerto de destino) activa el mecanismo de prproxy. El mecanismo básico de ataque de inundación SYN realiza el seguimiende puerto de destino, y ninguno de los conjuntos supera el umbral de ataque dsegundo. Sin embargo, si el umbral de destino es de 1000 pps, el dispositivo NFTP y HTTP con la misma dirección de destino que los miembros de un solo cpaquete (FTP o HTTP) dirigido a ese destino.

Timeout: El tiempo máximo antes de que una conexión semicompleta sea depredeterminado es de 20 segundos, pero se puede establecer entre 0 y 50 sevalor del tiempo de espera hasta que comience a ver conexiones descartadastráfico. Veinte segundos representan un tiempo de espera muy conservador pestablecimiento de comunicación de 3 fases.

set zone zone screen syn-flood timeout number

Queue size: El número de peticiones de conexión procesadas por proxy que de conexiones procesada por proxy antes de que el dispositivo NetScreen competiciones de conexión. Cuanto mayor sea el tamaño de la cola, más tarda el analizarla para encontrar una respuesta ACK válida a una petición de conexiópuede retardar ligeramente el establecimiento inicial de la conexión; sin embartranscurrir antes de poder comenzar la transferencia de datos es normalmenteretraso menor en la configuración inicial de la conexión, los usuarios no percib

set zone zone screen syn-flood queue-size number

Drop Unknown MAC: Cuando un dispositivo NetScreen detecta un ataque Slas peticiones de conexión TCP. Sin embargo, un dispositivo NetScreen en mprocesar por proxy una petición de conexión TCP si la dirección MAC de destaprendizaje de MAC. De forma predeterminada, un dispositivo NetScreen en detectado un ataque SYN entrega paquetes SYN que contienen direcciones Mutilizar esta opción para ordenar al dispositivo que descarte los paquetes SYNMAC de destino desconocidas en lugar de permitirles el paso.

set zone zone screen syn-flood drop-unknown-mac


defensa 59

inundación SYN originados en YN para la zona Untrust.

res apropiados para su red, na semana, ejecute un upervisar el número de nuevas n DMZ5. Su análisis de los nte:

do

N incorporada en el dispositivo uno de los servidores web. En bién proporciona algunas de conexión y modificar el

conectado. La mayoría de los rá visualizar y evaluar la información ivado que lleguen a ethernet3 y estén

n la hora, el día de la semana, la fase detecta cambios significativos,

Zona DMZ

web

10

20

30

40


Ejemplo: Protección contra inundaciones SYNEn este ejemplo protegerá cuatro servidores web en la zona DMZ contra ataques dela zona Untrust habilitando la opción SCREEN de protección contra inundaciones S

Para configurar los parámetros de protección contra inundaciones SYN con los valoprimero debe establecer una línea de base de los flujos de tráfico típicos. Durante uprograma rastreador4 sobre ethernet3 (la interfaz asociada a la zona Untrust) para speticiones de conexión TCP que llegan cada segundo a los cuatro servidores web edatos acumulados durante una semana de supervisión produce la estadística siguie

• Promedio de nuevas peticiones de conexión por servidor: 250 por segundo• Promedio de máximo de peticiones de conexión por servidor: 500 por segun

Nota: Juniper Networks recomienda aumentar la protección contra inundaciones SYNetScreen con la protección contra inundaciones SYN a nivel de dispositivo en cadaeste ejemplo, los servidores web funcionan con el sistema operativo UNIX, que tamdefensas contra inundaciones SYN, como ajustar el tamaño de la cola de peticionestiempo de espera para las peticiones de conexión incompletas.

4. Un programa rastreador es un dispositivo analizador de red que captura paquetes en el segmento de red al que estáprogramas rastreadores permiten definir filtros para recopilar solamente el tipo de tráfico que interese. Después podacumulada. En este ejemplo se desea que el programa rastreador recoja todos los paquetes TCP con el flag SYN actdestinados a uno de los cuatro servidores web en DMZ.

5. Siga ejecutando el programa rastreador a intervalos periódicos comprobando si existen patrones de tráfico basados edel mes o la estación del año. Por ejemplo, el tráfico puede aumentar espectacularmente durante las Navidades. Si probablemente esté justificado ajustar los diferentes umbrales.

Zona Untrust

Internet

Dispositivo NetScreen

ethernet31.1.1.1/24

ethernet21.2.2.1/24

Servidores

1.2.2.

1.2.2.

1.2.2.

1.2.2.

HTTP

Inundación SYN

Cortafuegos


defensa 60

ión contra inundaciones SYN

valor

e nuevas peticiones de conexión te entorno de red. Cuando el lquiera de los cuatro servidores een comienza a procesar por as a ese servidor. (En otras N dirigido a la misma dirección y undo, el dispositivo NetScreen e conexión dirigidas a esa

ticiones de conexión do el dispositivo NetScreen nexión en un segundo, genera s. Aumentando ligeramente el que, puede evitar las entradas de mente exceden levemente el


De acuerdo con esta información, establecerá los siguientes parámetros de proteccpara la zona Untrust:

Parámetros Valores Motivo para cada

Attack Threshold (Umbral de ataque)

625 paquetes por segundo (pps)

Esto supera en un 25% al promedio de picos dpor segundo por servidor, algo inusual para esnúmero de paquetes SYN por segundo de cuaweb supera este número, el dispositivo NetScrproxy las nuevas peticiones de conexión dirigidpalabras, comenzando por el 626º paquete SYnúmero de puerto de destino en un mismo segcomienza a procesar por proxy las peticiones ddirección y número de puerto).

Alarm Threshold (umbral de alarma)

250 pps 250 pps es 1/4 del tamaño de la cola (1000 pesemicompletas y procesadas por proxy*). Cuanprocesa por proxy 251 nuevas peticiones de couna entrada de alarma en el registro de eventoumbral de alarma por encima del umbral de ataalarma generadas por picos de tráfico que solaumbral de ataque.


defensa 61

ispositivo NetScreen rastrea la importar la dirección y el número

miento basado en orígenes es N basado en la dirección y el

l mecanismo básico de protección

e no más de una cuarta parte de os servidores procedía del mismo or lo tanto, las peticiones de

abituales y son causa suficiente ecanismo de procesamiento por ue es de 625 pps).

s SYN procedentes de la misma xto paquete rechazará los demás e ese segundo y también durante

dispositivo NetScreen ejecuta un n IP de destino, sin importar el cuatro servidores web reciben

y no les llega ningún tráfico tino, establecer un umbral de icional.

e pequeño (1000 peticiones de terminado de 20 segundos es un de conexión incompletas en cola

valor


Source Threshold (Umbral de origen)

25 pps Cuando se establece un umbral de origen, el ddirección IP de origen de los paquetes SYN, sinde puerto de destino. (Observe que este seguiindependiente del seguimiento de paquetes SYnúmero de puerto de destino, que constituye econtra inundaciones SYN).

Durante la semana de supervisión, observó qulas nuevas peticiones de conexión para todos lorigen dentro de un intervalo de un segundo. Pconexión que superan este umbral son poco hpara que el dispositivo NetScreen ejecute su mproxy. (25 pps es 1/25 del umbral de ataque, q

Si el dispositivo NetScreen detecta 25 paquetedirección IP de origen, a partir del vigésimo sepaquetes SYN de ese origen durante el resto del segundo siguiente.

Destination Threshold (Umbral de destino)

0 pps Cuando se establece un umbral de destino, el seguimiento separado solamente de la direcciónúmero de puerto de destino. Debido a que lossolamente tráfico HTTP (puerto de destino 80)dirigido a ningún otro número de puerto de desdestino separado no aporta ninguna ventaja ad

Timeout (Tiempo de espera)

20 segundos Dado que el tamaño de la cola es relativamentconexión procesadas por proxy), el valor predetiempo razonable para mantener las peticionespara esta configuración.



defensa 62

s y haga clic en OK :

e)


e)

ocesadas por proxy es dos veces conexión (500 pps). El dispositivo iones por segundo antes de y el doble del promedio de picos un “colchón” suficiente como para egítimas.

tos. Un establecimiento de conexión en ivado, una respuesta con los flag SYN y nsulte “Glosario” en el Volumen 1, “Vista

valor


WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato

Zone Name: DMZ

Static IP: (seleccione esta opción si es posibl


Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato

Zone Name: Untrust



Queue Size (Tamaño de la cola

1000 conexiones semicompletas procesadas por

proxy

1000 peticiones de conexión semicompletas prel promedio de picos de nuevas peticiones de NetScreen procesa por proxy hasta 1000 peticdescartar nuevas peticiones. Procesar por proxde nuevas peticiones de conexión proporciona que puedan pasar las peticiones de conexión l

* Las peticiones de conexión semicompletas son establecimientos de conexión en tres fases incompletres fases es la fase inicial de una conexión TCP. Consiste en un segmento TCP con el flag SYN actACK activados y una respuesta a ésta con el flag ACK activado. Para ver una descripción completa, cogeneral”.



defensa 63

lic en OK :

lic en OK :

lic en OK :



Address Name: ws1



Zone: DMZ


Address Name: ws2



Zone: DMZ


Address Name: ws3



Zone: DMZ


defensa 64

lic en OK :

guiente nombre de grupo,

sladar la dirección de la “Group Members”.




haga clic en OK :

vers



Address Name: ws4



Zone: DMZ

Objects > Addresses > Groups > (para la zona: DMZ) New: Introduzca el simueva las siguientes direcciones y haga clic en OK :

Group Name: web_servers

Seleccione ws1 y utilice el botón << para tracolumna “Available Members” a la columna




3. DirectivaPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), Any

Destination Address:

Address Book Entry: (seleccione), web_ser

Service: HTTP

Action: Permit


defensa 65

clic en Apply :

que lo haya establecido previamente


4. SCREENScreening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga

SYN Flood Protection: (seleccione)

Threshold: 625

Alarm Threshold: 250

Source Threshold: 25

Destination Threshold: 0

Timeout Value: 206

Queue Size: 1000

6. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menosen otro valor.


defensa 66

it

que lo haya establecido previamente


CLI

1. Interfacesset interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24


2. Direccionesset address dmz ws1 1.2.2.10/32set address dmz ws2 1.2.2.20/32set address dmz ws3 1.2.2.30/32set address dmz ws4 1.2.2.40/32

set group address dmz web_servers add ws1set group address dmz web_servers add ws2set group address dmz web_servers add ws3set group address dmz web_servers add ws4

3. Directivaset policy from untrust to dmz any web_servers HTTP perm

4. SCREENset zone untrust screen syn-flood attack-threshold 625set zone untrust screen syn-flood alarm-threshold 250set zone untrust screen syn-flood source-threshold 25set zone untrust screen syn-flood timeout 207

set zone untrust screen syn-flood queue-size 1000set zone untrust screen syn-floodsave

7. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menosen otro valor.


efensa 67

sobrecargan a su víctima con sulta imposible procesar el uede establecer un umbral MP. (El valor predeterminado etScreen ignora otras o siguiente.

etScreen supervisa todos los tipos

LAN protegida

ja pasar las peticiones tiva lo permite.


Inundación ICMPUna inundación ICMP se produce normalmente cuando las peticiones de eco ICMP8 tantas peticiones que ésta consume todos sus recursos en responder, hasta que le retráfico de red válido. Al habilitar la función de protección contra inundaciones ICMP, pque, al ser excedido, activa la función de protección contra ataques de inundación ICdel umbral es 1000 paquetes por segundo). Si se excede este umbral, el dispositivo Npeticiones de eco ICMP durante el resto de ese segundo y también durante el segund

8. Observe que una inundación del ICMP puede consistir en cualquier tipo de mensaje ICMP. Por lo tanto, un dispositivo Nde mensaje ICMP, no sólo las peticiones de eco.

El atacante envía peticiones de eco ICMP con direcciones de origen simuladas.

Peticiones de eco ICMP de una variedad de direcciones IP suplantadas

? Respuesta de eco

.

.

.

��

— Límite máximo de peticiones de eco ICMP por segundo —

Petición de eco

Una vez alcanzado el umbral de ICMP, el dispositivo NetScreen rechaza las peticiones de eco ICMP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y también durante el segundo siguiente.

Petición de eco ICMP legítima de una dirección en la misma zona de seguridad

Petición de eco

? Respuesta de eco

? Respuesta de eco

Petición de eco

Petición de eco

Petición de eco

El dispositivo NetScreen dede eco sólo si alguna direc


defensa 68

uientes procedimientos, donde


ual debe activarse la protección

or segundo.


Para habilitar la protección contra inundaciones ICMP, ejecute cualquiera de los sigla zona especificada es aquélla en la que puede originarse una inundación:

WebUI


ICMP Flood Protection: (seleccione)

Threshold: (introduzca el valor a partir del ccontra inundaciones ICMP9)

CLI

set zone zone screen icmp-flood threshold numberset zone zone screen icmp-flood

9. La unidad de este valor se expresa en paquetes ICMP por segundo. El valor predeterminado es de 1000 paquetes p


defensa 69

tacante envía paquetes IP que esulta imposible procesar las es UDP, puede establecer un ación UDP. (El valor amas UDP de uno o más ora los datagramas UDP rante el segundo siguiente.

LAN protegida

reen

es de e el

deja pasar los datagramas tiva lo permite.

Servidor DNSIP: 1.2.2.5

Puerto: 53 (UDP)


Inundación UDPDe forma parecida a una inundación ICMP, una inundación UDP ocurre cuando un acontienen datagramas UDP con el propósito de ralentizar a la víctima hasta que le rconexiones válidas. Después de habilitar la función de protección contra inundacionumbral que, al ser excedido, activa la función de protección contra ataques de inundpredeterminado del umbral es 1000 paquetes por segundo). Si el número de datagrorígenes a un destino determinado supera este umbral, el dispositivo NetScreen ignsubsiguientes dirigidos a ese destino durante el resto de ese segundo y también du

El atacante envía datagramas UDP en paquetes IP con direcciones de origen simuladas.

Datagramas UDP dentro de los paquetes IP de una variedad de direcciones IP simuladas

.

.

.

��

— Límite máximo de datagramas UDP por segundo —

Datagrama UDP

Una vez alcanzado el umbral de inundación UDP, el dispositivo NetScrechaza los datagramas UDP subsiguientes de todas las direccionla misma zona de seguridad durantresto del segundo actual y también durante el segundo siguiente.Datagrama UDP legítimo desde una

dirección de la misma zona de seguridad

Datagrama UDP

El dispositivo NetScreen UDP sólo si alguna direc

Datagrama UDP

Datagrama UDP

Datagrama UDP

Los datagramas apuntan a un servidor DNS en 1.2.2.5:53.


defensa 70

entes procedimientos, donde la


ual debe activarse la protección

r segundo.


Para habilitar la protección contra inundaciones UDP, ejecute cualquiera de los siguizona especificada es aquélla en la que puede originarse una inundación:

WebUI


UDP Flood Protection: (seleccione)

Threshold: (introduzca el valor a partir del ccontra inundaciones UDP10)

CLI

set zone zone screen udp-flood threshold numberset zone zone screen udp-flood

10. La unidad de este valor se expresa en paquetes UDP por segundo. El valor predeterminado es de 1000 paquetes po


defensa 71

tre ocurre cuando un atacante dirección IP de destino y ete SYN-ACK, creando una

Inundar un sistema con tales

íctima

Los recursos disponibles de la víctima

Las conexiones vacías están consumiendo los recursos de la víctima.

Todos los recursos están consumidos, lo cual impide las operaciones normales.


Ataque terrestre (“Land Attack”)Combinando un ataque SYN con la suplantación de direcciones IP, un ataque terresenvía paquetes SYN suplantados que contienen la dirección IP de la víctima como dirección IP de origen. El sistema receptor responde enviándose a sí mismo el paquconexión vacía que perdura hasta que caduca el tiempo de espera por inactividad. conexiones vacías puede saturarlo y provocar la denegación de servicio (DoS).

Origen

1.2.2.5 1.2.2.5

Destino

Datos

Atacante V

Origen

1.2.2.5 1.2.2.5

Destino

Datos

Origen

1.2.2.5 1.2.2.5

Destino

Datos

Tanto la dirección de origen como la de destino son las de la víctima. La dirección de origen que aparece en el encabezado IP es simulada, mientras que la dirección de origen verdadera permanece oculta.

La víctima crea conexiones vacías consigo misma.


defensa 72

vo NetScreen combina ntación de direcciones IP para

entes procedimientos, donde la

d Attack Protection y haga


Cuando se habilita la opción SCREEN para bloquear ataques terrestres, el dispositielementos de la defensa contra inundaciones SYN y de la protección contra la supladetectar y bloquear cualquier intento de esta naturaleza.

Para habilitar la protección contra ataques terrestres, ejecute cualquiera de los siguizona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Lanclic en Apply .

CLI

set zone zone screen land

Capítulo 3 Defensas contra los ataques de denegación de servicio Ataques DoS específicos de cada sistema operativo

defensa 73

de un host activo, sino también e attacks”), puede atacar de sección pueden inutilizar un ptibles a estos ataques, puede de que alcancen su destino.

cabezado del paquete, que pseudoencabezado de 8 de eco ICMP es de 65.507

ecificar un tamaño del paquete r una variedad de reacciones bloqueos y reinicios.

echaza esos paquetes del paquete fragmentándolo

”.

ssage Protocol”.

.org/sploits/ping-o-death.html.

ytes prescrito en la vide en numerosos quedarse “colgado”.


ATAQUES DOS ESPECÍFICOS DE CADA SISTEMA OPERATIVOSi un atacante identifica no sólo la dirección IP y los números de puerto accesibles su sistema operativo (OS), en lugar de utilizar “ataques de fuerza bruta” (“brute-forcforma más sutil “liquidando” uno o dos paquetes. Los ataques presentados en esta sistema con un esfuerzo mínimo. Si su dispositivo NetScreen protege a hosts suscehabilitar el dispositivo NetScreen para detectar dichos ataques y bloquearlos antes

“Ping of Death”El tamaño máximo admisible de un paquete IP es de 65.535 bytes, incluyendo el enhabitualmente mide 20 bytes11. Una petición de eco ICMP es un paquete IP con un bytes12. Por lo tanto, el tamaño máximo admisible del área de datos de una peticiónbytes (65.535 - 20 - 8 = 65.507).

Sin embargo, muchas implementaciones del comando ping permiten al usuario espsuperior a 65.507 bytes. Un paquete ICMP sobredimensionado puede desencadenaadversas por parte del sistema, como la denegación del servicio (DoS), “cuelgues”,

Habilitando la opción SCREEN “Ping of Death”, el dispositivo NetScreen detecta y rsobredimensionados e irregulares incluso cuando el atacante oculta el tamaño totalintencionalmente.

11. Para obtener información sobre las especificaciones del protocolo IP, consulte la norma RFC 791, “Internet Protocol

12. Para obtener más información sobre las especificaciones de ICMP, consulte la norma RFC 792, “Internet Control Me

Nota: Para obtener información sobre “Ping of Death”, consulte http://www.insecure

Encabezado IP Encabezado ICMP Datos ICMP

20 bytes 8 bytes 65.510 bytes

El tamaño de este paquete es de 65.538 bytes. Excede el límite de 65.535 bnorma RFC 791, “Internet Protocol”. Durante la transmisión, el paquete se difragmentos. Durante el proceso de reensamblaje, el sistema receptor puede

Original, paquete no fragmentado

http://www.insecure.org/sploits/ping-o-death.html


defensa 74

s siguientes procedimientos,

g of Death Attack Protection


Para habilitar la protección contra ataques “Ping of Death”, ejecute cualquiera de lodonde la zona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Piny haga clic en Apply .

CLI

set zone zone screen ping-death


defensa 75

ntados. En el encabezado IP, cial, o “desplazamiento”, de los original sin fragmentar.

tado” es distinta a la del ensamblarlos puede colgarse, rabilidad.

bezado 20 bytes

bytes)

omprueba si existen discrepancias en nto del fragmento.


Ataque “Teardrop”Los ataques “Teardrop” explotan la función de reensamblaje de paquetes IP fragmeuno de los campos es el de desplazamiento del fragmento, que indica la posición inidatos contenidos en un paquete fragmentado con respecto a los datos del paquete

Cuando la suma de “tamaño de desplazamiento” + “tamaño de un paquete fragmensiguiente paquete fragmentado, los paquetes se solapan y el servidor que intenta reespecialmente si está ejecutando un sistema operativo antiguo que tenga esta vulne

Versión

Suma de comprobación del enca



Carga de datos

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paquete (en

x D M Desplazamiento del fragmento


El dispositivo NetScreen cel campo de desplazamie


defensa 76

NetScreen detecte esta


rdrop Attack Protection y

gundo fragmento pretende nzar 20 bytes antes (en 800) del el primer fragmento (en 820). El azamiento del fragmento nº 2 no erda con la longitud del paquete

agmento nº 1. Esta discrepancia e hacer que algunos sistemas se uen al intentar el reensamblaje.


Una vez habilitada la opción SCREEN “Teardrop Attack”, siempre que el dispositivodiscrepancia en un paquete fragmentado, lo descartará.

Para habilitar la protección contra ataques “Teardrop”, ejecute cualquiera de los sigla zona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Teahaga clic en Apply .

CLI

set zone zone screen tear-drop

20 bytes

El secomefinal ddesplconcudel frpuedcuelg

Paquete fragmentado nº 1 Encabezado IP Datos

800 bytes

20 bytes

Paquete fragmentado nº 2 Encabezado IP Datos

600 bytes

Desplazamiento (“offset”) = 0Longitud = 820Más fragmentos = 1

Desplazamiento (“offset”) = 800

Longitud = 620Más fragmentos = 0

Discrepancia entre fragmentos


defensa 77

ipo conectado a Internet que de NetBIOS con el flag URG iento de fragmentos NetBIOS,

o atacado, aparece el siguiente

amada se realizó desde ormalmente.

no guardada en los programas.

: 139

nte

tana

o es el 139.


WinNukeWinNuke es un ataque de denegación de servicio (DoS) que apunta a cualquier equejecute Windows. El atacante envía un segmento TCP, normalmente al puerto 139 (urgente) activado, a un host con una conexión establecida. Esto induce un solapamque en muchos equipos Windows provoca la caída del sistema. Al reiniciar el equipmensaje para indicar que se ha producido un ataque:

Excepción OE en 0028:[dirección] en el VxD MSTCP(01) + 000041AE. La ll0028:[dirección] en el VxD NDIS(01) + 00008660. Quizás pueda continuar n

Presione cualquier tecla para continuar.

Presione CTRL+ALT+SUPR para reiniciar el equipo. Perderá la información

Presione cualquier tecla para continuar.

Número del puerto de origen Puerto de destino

Número correlativo

Número de reconocimiento

U R G

A C K

P S H

R S T

Suma de comprobación de TCP Indicador Urge

Tamaño de la venTamaño del encabezado

Reservado


Datos (si los hay)

S Y N

F I N

Encabezado TCP

El flag URG está activado.

El puerto de destinIndicadores de un ataque WinNuke


defensa 78

o NetScreen analiza cualquier dispositivo NetScreen detecta dicador URG, reenvía el a bloqueado un intento de


Nuke Attack Protection y


Con la opción SCREEN de defensa contra ataques WinNuke habilitada, el dispositivpaquete entrante del servicio de sesiones de Microsoft NetBIOS (puerto 139). Si el que el flag URG está activado en alguno de esos paquetes, lo desactiva, borra el inpaquete modificado y genera una entrada en el registro de eventos indicando que hataque WinNuke.

Para habilitar la protección contra ataques “WinNuke”, ejecute cualquiera de los sigla zona especificada es aquélla en la que se origina el ataque:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Winhaga clic en Apply .

CLI

set zone zone screen winnuke

4

y defensa 79

Capítulo 4

medio de funciones de l y Trend Micro.

n la opción SCREEN de je de fragmentos permite que IP fragmentados.

n para obtener una clave de cción de virus. Para el filtrado tor interno de filtrado de URL

reensamblar paquetes y otros dispositivos para realizar ones:


Supervisión y filtrado de contenidos

Juniper Networks proporciona amplia protección y control de la actividad de red porScreenOS y de la combinación de ScreenOS con productos Websense, SurfContro

Juniper Networks ofrece varias funciones de supervisión y filtrado de contenidos coprotección contra URL maliciosas de ScreenOS. Además, la función de reensamblaun dispositivo NetScreen detecte las URL incluso entre segmentos TCP y paquetes

Para la protección antivirus (AV), puede elegir algunos de los dispositivos NetScreelicencia avanzada y una clave de suscripción AV, y utilizar la función interna de detede URL, puede configurar un dispositivo NetScreen de modo que trabaje con un mocon uno o más servidores de filtrado URL externos.

En este capítulo se estudia cómo se ha de configurar el dispositivo NetScreen parasegmentos, supervisar el tráfico HTTP en busca de URL maliciosas e interactuar conel análisis antivirus y el filtrado de URL. El capítulo se divide en las siguientes secci

• “Reensamblaje de fragmentos” en la página 81– “Protección contra URLs maliciosas” en la página 81– “Puerta de enlace en la capa de aplicación” en la página 82

• “Análisis antivirus” en la página 86– “Análisis del tráfico FTP” en la página 87– “Análisis del tráfico HTTP” en la página 89– “Análisis del tráfico IMAP y POP3” en la página 92– “Análisis del tráfico SMTP” en la página 94– “Actualización del archivo de firmas AV” en la página 96– “Aplicación de análisis AV” en la página 100– “Ajustes del analizador AV” en la página 103

Capítulo 4 Supervisión y filtrado de contenidos

defensa 80
• “Filtrado de URL” en la página 111

– “Filtrado de URL integrado” en la página 112

– “Redireccionamiento del filtrado de URL” en la página 126

Capítulo 4 Supervisión y filtrado de contenidos Reensamblaje de fragmentos

defensa 81

s, no reensamblan los es responsabilidad del host de tizar un tráfico eficaz, poniendo ltan innecesarios e ineficaces. o seguro. El atacante puede ltantes crucen el cortafuegos

a, el dispositivo NetScreen jorar su capacidad de as porciones de datos de los

ulo (consulte 48 patrones de cadenas URL otección contra URL maliciosas dispositivo NetScreen examina comienzo de su cadena (hasta el dispositivo NetScreen

ue se puede bloquear, puede able durante la inspección. Por mentar en las siguientes


REENSAMBLAJE DE FRAGMENTOSNormalmente, los dispositivos de reenvío por red, como conmutadores o enrutadorepaquetes fragmentados que reciben. El reensamblaje de los paquetes fragmentadosdestino una vez los recibe. Como el objetivo de los dispositivos de reenvío es garanen cola los paquetes fragmentados, su reensamblaje, fragmentación y reenvío resuSin embargo, el paso de paquetes fragmentados a través de un cortafuegos es pocromper intencionadamente los paquetes y hacer así que las cadenas de tráfico resusin que se las detecte y bloquee.

ScreenOS permite habilitar por zonas el reensamblaje de fragmentos. De esta formpuede ampliar su habilidad de detectar y bloquear cadenas de URL maliciosas y meproporcionar una puerta de enlace en la capa de aplicación (ALG) para comprobar lpaquetes.

Protección contra URLs maliciosasAdemás de la función de filtrado de URL que se explica más adelante en este capít“Redireccionamiento del filtrado de URL” en la página 126), es posible definir hasta maliciosas por zona, cada uno con una longitud máxima de 64 caracteres, para la pren el nivel de zonas. Si la función de bloqueo de URL maliciosas está habilitada, el la carga de datos de todos los paquetes HTTP. Si localiza una URL y detecta que elun número determinado de caracteres) coincide con uno de los patrones definidos, bloqueará el paquete, impidiendo que traspase la puerta de enlace.

Cualquier atacante con recursos, al darse cuenta de que la cadena es conocida y qfragmentar los paquetes IP o los segmentos TCP para que el patrón no sea identificejemplo, si la cadena URL maliciosa es 120.3.4.5/level/50/exec , ésta se podría fragsecciones:

• Primer paquete: 120.

• Segundo paquete: 3.4.5/level/50

• Tercer paquete: /exec


defensa 82

en sin ser detectadas, aunque eres. La cadena del primer que los 20 caracteres definidos inicio del patrón definido, por lo

na cadena que el dispositivo gmentos, el dispositivo ompleto y, finalmente, analizar

reensamblaje y la posterior

te e indica el evento en el

, hay impuesto un límite

quete reensamblado es a los fragmentos.ecesario fragmentarla, reenvía

n Layer Gateway”) para una mblaje de fragmentos puede

vicios FTP y HTTP. La como FTP-Get y FTP-Put hace carga. Por ejemplo, puede las zonas DMZ y otra que


Individualmente, las cadenas fragmentadas pueden atravesar el dispositivo NetScrese haya definido una cadena 120.3.4.5/level/50/exec con una longitud de 20 caractpaquete (“120.”) coincide con la primera parte del patrón definido, pero es más cortapara la longitud. Las cadenas del segundo y del tercer paquete no coinciden con el que también podrán pasar sin problemas.

No obstante, al reensamblar los paquetes, los fragmentos se combinan formando uNetScreen puede identificar y bloquear. Gracias a la función de reensamblaje de fraNetScreen puede colocar los fragmentos en cola, reensamblar con ellos el paquete cel paquete en busca de código malicioso. Según los resultados de este proceso de inspección, el dispositivo NetScreen lleva a cabo uno de los siguientes pasos:

• Si el dispositivo NetScreen descubre una URL maliciosa, descarta el paqueregistro.

• Si el dispositivo NetScreen no puede completar el proceso de reensamblajetemporal tras el cual los fragmentos caducan y se descartan.

• Si el dispositivo NetScreen determina que la URL no es maliciosa pero el pademasiado grande para reenviarlo, vuelve a fragmentar el paquete y reenví

• Si el dispositivo NetScreen determina que la URL no es maliciosa y no es nel paquete directamente.

Puerta de enlace en la capa de aplicaciónNetScreen ofrece una puerta de enlace en la capa de aplicación (ALG, o “Applicatioserie de protocolos, como DNS, FTP, H.323 o HTTP. En estos protocolos, el reensaser un componente importante a la hora de reforzar las directivas relativas a los sercapacidad de la puerta de enlace NetScreen para analizar paquetes para protocolosnecesario examinar no sólo el encabezado del paquete sino también los datos de lahaber dos directivas, una que deniegue FTP-Put procedente de las zonas Untrust apermita FTP-Get desde las zonas Untrust a las zonas DMZ:

set policy from untrust to dmz any any ftp-put denyset policy from untrust to dmz any any ftp-get permit


fensa 83

el paquete. Si el contenido RETRieve”) el archivo quete. Si el dispositivo ar (“STORe”) el archivo

aquete FTP-put en dos quete 1: ST ; paquete 2: OR ual, no encuentra la cadena

e el dispositivo NetScreen ispositivo NetScreen coloca a el paquete en busca de la

sterior inspección, el

e e indica el evento en el

ay impuesto un límite

nsamblado es demasiado os.

ragmentarla, reenvía el

ón de bloqueo de URL


Para distinguir los dos tipos de tráfico, el cortafuegos de NetScreen examina la carga des RETR filename , el cliente FTP ha enviado una petición para obtener o recuperar (“especificado desde el servidor FTP y el dispositivo NetScreen permitirá el paso del paNetScreen encuentra STOR filename , el cliente ha enviado una petición para almacenespecificado en el servidor y el dispositivo NetScreen bloqueará el paquete.

Para burlar este tipo de defensa, un atacante puede fragmentar deliberadamente un ppaquetes que contengan el siguiente texto en las cargas de datos correspondientes: pafilename . Cuando el dispositivo NetScreen inspecciona cada paquete de forma individSTOR filename , por lo que permite el paso de ambos paquetes.

No obstante, al reensamblarlos, los fragmentos se combinan formando una cadena qupuede identificar y bloquear. Gracias a la función de reensamblaje de fragmentos, el dlos fragmentos en cola, reconstruye con ellos el paquete completo y, finalmente, analizpetición FTP completa. Según los resultados de este proceso de reensamblaje y la podispositivo NetScreen lleva a cabo uno de los siguientes pasos:

• Si el dispositivo NetScreen descubre una petición FTP-put, descarta el paquetregistro.

• Si el dispositivo NetScreen no puede completar el proceso de reensamblaje, htemporal tras el cual los fragmentos caducan y se descartan.

• Si el dispositivo NetScreen descubre una petición FTP-get pero el paquete reegrande para reenviarlo, vuelve a fragmentar el paquete y reenvía los fragment

• Si el dispositivo NetScreen descubre una petición FTP-get y no es necesario fpaquete directamente.

Ejemplo: Bloqueo de URLs maliciosas fragmentadasEn este ejemplo, definiremos tres cadenas de URLs maliciosas y habilitaremos la opcimaliciosa:

• Primera URL maliciosa

– ID: Perl– Pattern: scripts/perl.exe– Length: 14


defensa 84

ben aparecer en la URL, Observe que en las URL

eguen a una interfaz de zona

a clic en OK :

a clic en OK :

a clic en OK :


• Segunda URL maliciosa

– ID: CMF– Pattern: cgi-bin/phf– Length: 11

• Tercera URL maliciosa

– ID: DLL– Pattern: 210.1.1.5/msadcs.dll– Length: 18

Los valores de longitud (Length) indican el número de caracteres del patrón que decomenzando por el primer carácter, para que la coincidencia se considere correcta.primera y tercera, no es necesario que coincidan todos los caracteres.

A continuación, habilite el reensamblaje de fragmentos para detectar las URL que llUntrust en el tráfico de HTTP.

WebUI

Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y hag

ID: perl

Pattern: /scripts/perl.exe

Length: 14


ID: cmf

Pattern: cgi-bin/phf

Length: 11


ID: dll

Pattern: 210.1.1.5/msadcs.dll

Length: 18


defensa 85

CP/IP Reassembly for ALG y

14

l” 18


Network > Zones > Edit (para Untrust): Seleccione la casilla de verificación Tluego haga clic en OK .

CLI

set zone untrust screen mal-url perl “scripts/perl.exe” set zone untrust screen mal-url cmf “cgi-bin/phf” 11set zone untrust screen mal-url dll “210.1.1.5/msadcs.dlset zone untrust reassembly-for-algsave

Capítulo 4 Supervisión y filtrado de contenidos Análisis antivirus

defensa 86

permite reproducirse. Algunos un problema simplemente host infectado con cantidades

e proporcione análisis AV para para que examine el tráfico de

ivas de seguridad. Cuando el álisis AV, dirige el contenido leto del paquete FTP, HTTP, e según un archivo de firmas2 positivo NetScreen descarta el i el analizador no detecta

te.

V externo, esta versión de ScreenOS

riodicamente, consulte “Actualización


ANÁLISIS ANTIVIRUSUn virus es un código ejecutable que infecta o adjunta otro código ejecutable que levirus son maliciosos, borrando archivos o bloqueando sistemas. Otros representan porque infectan otros archivos, puesto que al propagarse pueden saturar la red o elexcesivas de datos superfluos.

Los dispositivos Select NetScreen admiten un analizador interno de antivirus (AV) qutransacciones específicas de la capa de la aplicación1. Puede configurar el escánerred que utiliza los siguientes protocolos:

• File Transfer Protocol (FTP)

• Hypertext Transfer Protocol (HTTP)

• Internet Mail Access Protocol (IMAP)

• Post Office Protocol, version 3 (POP3)

• Simple Mail Transfer Protocol (SMTP)

Para aplicar la protección AV, debe hacer referencia al escáner interno en las directdispositivo NetScreen recibe el tráfico al que se aplica una directiva que requiere anque recibe a su escáner interno. Tras comprobar que ha recibido el contenido compIMAP, POP3, o SMTP, el escáner examina los datos en busca de virus. Esto lo hacque permite identificar las firmas de virus. Cuando el escáner detecta un virus, el discontenido y envía un mensaje al cliente indicando que el contenido está infectado. Sningún virus, el dispositivo NetScreen reenvía el contenido al destino correspondien

1. Aunque algunos dispositivos NetScreen muestran opciones en las interfaces CLI y WebUI para configurar el análisis Aes compatible únicamente con el análisis interno AV.

2. Para ver la información acerca de cómo guardar un archivo de firmas AV en el dispositivo NetScreen y actualizarlo pedel archivo de firmas AV” en la página 96.


defensa 87

ta uno de los comandos FTP e envían a través del canal de resultados del análisis y de

Screen

FTP a través del canal de datos.

e datos y envía un mensaje de FTP a través del canal de control.

e datos y envía un mensaje “file vés del canal de control.

FTP a través del canal de datos.

e datos y envía un mensaje “scan del canal de control.

n mensaje “scan error” al cliente ntrol.


Análisis del tráfico FTPPara el tráfico FTP, el dispositivo NetScreen supervisa el canal de control, y si detecpara la transferencia de datos (RETR, STOR, STOU, APPE) analiza los datos que sdatos. La siguiente acción que lleva a cabo el dispositivo NetScreen depende de loscómo haya configurado el comportamiento del modo de fallo:

Si los datos y el modo de fallo es entonces el dispositivo Net

no están contaminados aceptar o descartar transmite los datos al cliente

contienen un virus aceptar o descartar descarta los datos del canal dnotificación de virus al cliente

exceden el máximo nivel de contenido descartar descarta los datos del canal d

too large” al cliente FTP a tra

exceden el máximo nivel de contenido aceptar transmite los datos al cliente

no se pueden analizar con éxito descartar descarta los datos del canal d

error” al cliente FTP a través

no se pueden analizar con éxito aceptar transmite los datos y envía u

FTP a través del canal de co


defensa 88

Zona Trust

Cliente FTPlocal

TP y

l servidor s datos y mina en

e estos

nvía otro l.

finalizar con éxito, el sulte la tabla anterior


Canal de control

Canal de datos

Zona Untrust

Analizador AV interno

Análisis antivirus de FTP

Servidor FTP

remoto

1

32

1. Un cliente FTP local abre un canal de control FTP en un servidor Fsolicita la transmisión de algunos datos.

2. El cliente FTP y el servidor negocian un canal de datos por el que eenvíe los datos solicitados. El dispositivo NetScreen intercepta lotransmite los datos HTTP a su analizador AV interno, que los exabusca de virus.

3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno dpasos:• Si no hay virus, reenvía los datos al cliente.• Si se descubre la presencia de un virus, descarta el mensaje y e

informando de la infección al cliente a través del canal de contro

Si los datos analizados exceden el ajuste máximo de los contenidos o si el análisis no se puede dispositivo NetScreen sigue una línea de acción diferente en función del ajuste del modo de fallo. Conpara los detalles.


defensa 89

tas como las peticiones HTTP es decir, los datos HTTP de un rno también analiza las cargas, o un cliente escribe un mensaje

ados del análisis y de cómo

etScreen

te HTTP.

un mensaje de la notificación de

un mensaje “file too large” al

te HTTP.

un mensaje “scan error” al cliente

un mensaje “scan error” al cliente


Análisis del tráfico HTTPPara el análisis del tráfico HTTP, el dispositivo NetScreen analiza tanto las respues(comandos get, post y put). El analizador AV interno examina las descargas HTTP; servidor web en respuesta a las peticiones HTTP de un cliente. El analizador AV intep. ej., cuando un cliente HTTP completa un cuestionario en un servidor web o cuanden un servicio de correo ubicado en un servidor web.

La siguiente acción que lleva a cabo el dispositivo NetScreen depende de los resulthaya configurado el comportamiento del modo de fallo:

Si los datos y el modo de fallo es entonces el dispositivo N

no están contaminados aceptar o descartar transfiere los datos al clien

contienen un virus aceptar o descartar descarta los datos y envíavirus al cliente HTTP.

exceden el máximo nivel de contenido descartar descarta los datos y envía

cliente HTTP.

exceden el máximo nivel de contenido aceptar transfiere los datos al clien

no se pueden analizar con éxito descartar descarta los datos y envía

HTTP.

no se pueden analizar con éxito aceptar transfiere los datos y envía

HTTP.


defensa 90

de los siguientes tipos de eguidos de una barra):

Zona Trust

Cliente HTTPlocal

etición HTTP a un servidor web.rcepta la petición y transmite los o, que los examina en busca de

, el dispositivo NetScreen sigue uno

petición al servidor web.ia de un virus, descarta la petición y formando de la infección al cliente.


Extensiones MIME de HTTPDe forma predeterminada, el análisis HTTP no analiza entidades HTTP compuestascontenido Multipurpose Internet Mail Extensions (MIME) y subtipos (cuando están s

• application/x-director

• application/pdf

• image/

• video/

• audio/

• text/css

• text/html

Zona Untrust


Análisis antivirus HTTP

Servidor web

remoto 4 65

1. Un cliente HTTP envía una p2. El dispositivo NetScreen inte

datos al analizador AV internvirus.

3. Una vez finalizado el análisisde estos pasos:• Si no hay virus, reenvía la• Si se descubre la presenc

envía un mensaje HTTP in

4. Un servidor web responde a una petición HTTP.5. El dispositivo NetScreen intercepta la respuesta HTTP y transmite

los datos a su analizador AV interno, que los examina en busca de virus.

6. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno de estos pasos:• Si no hay virus, reenvía la respuesta al cliente HTTP.• Si se descubre la presencia de un virus, descarta la respuesta

y envía un mensaje HTTP informando de la infección al cliente.

1

2

3


defensa 91

nido MIME anteriores. Puesto dichos, el análisis HTTP se de contenidos /zip y

creen analice todas las clases iente comando: unset av http

te que realizó las peticiones de , a continuación, al cliente.

Zona Trust

Cliente HTTPlocal

servidor

nsmite los de virus.e estos

nvía un


Para mejorar rendimiento, los dispositivos NetScreen no analizan los tipos de conteque la mayoría de las entidades HTTP se componen de los tipos de contenido anteaplica únicamente a un pequeño subconjunto de entidades HTTP, por ejemplo tiposapplication/exe, en los que es más probable que se escondan los virus.

Para modificar el comportamiento del análisis HTTP de modo que el dispositivo NetSde tráfico HTTP sin tener en cuenta los tipos del contenido MIME, introduzca el siguskipmime .

Correo web HTTPPara el correo web HTTP, antes de enviar las respuestas de un servidor web al cliencorreo web HTTP, el dispositivo NetScreen envía las respuestas al analizador AV y

Zona Untrust


Análisis antivirus del correo web HTTP

Servidor web

remoto

1

32

1. Un cliente HTTP local envía una petición de correo web HTTP a unweb remoto. El dispositivo NetScreen permite la petición.

2. El dispositivo NetScreen intercepta la respuesta HTTP entrante y tradatos HTTP a su analizador AV interno, que los examina en busca

3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno dpasos:• Si no hay virus, reenvía el mensaje al cliente.• Si se descubre la presencia de un virus, descarta el mensaje y e

mensaje HTTP informando de la infección al cliente.


defensa 92

n servidor de correo local al n que lleva a cabo el dispositivo

portamiento del modo de fallo:

etScreen

nte IMAP o POP3.

o a “text/plain”, reemplaza el siguiente aviso, y lo envía al

filename name

o a “text/plain”, reemplaza el siguiente aviso, y lo envía al

ido en busca de virus porque er de código),y se descartó.er uno de los siguientes:

do grande

e contenido máx.e mensajes máx.

al al cliente IMAP o POP3 con la e la siguiente forma:tr (No se analizó en busca de xt_str, number de código)


Análisis del tráfico IMAP y POP3Para el análisis del tráfico IMAP y POP3, el dispositivo NetScreen desvía el tráfico de uanalizador AV interno antes de enviarlo al cliente local IMAP o POP3. La siguiente accióNetScreen depende de los resultados del análisis y de cómo haya configurado el com

Si el mensaje y el modo de fallo es entonces el dispositivo N

no está contaminado aceptar o descartar transmite el mensaje al clie

contiene un virus aceptar o descartar cambia el tipo de contenidcuerpo del mensaje con elcliente IMAP o POP3:

VIRUS WARNINGContaminated File:Virus Name: virus_

excede el máximo nivel de contenido

o bienno se puede analizar con éxito

descartar cambia el tipo de contenidcuerpo del mensaje con elcliente IMAP o POP3:

No se analizó el contenreason_text_str (numb

El reason_text_str puede sel archivo era demasiapor un error o limitaciónse excedió el tamaño dse excedió el número d



aceptar transmite el mensaje originlínea de título modificada d

original_subject_text_svirus porque reason_te


defensa 93

ona Trust

or de local

rónico desde

datos al

no de estos

formando de

e IMAP o POP3

letar con éxito, el dispositivo bla anterior para los detalles.


Z

Servidcorreo

3

1

Zona DMZ

1. El cliente IMAP o POP3 descarga un mensaje de correo electel servidor de correo local.

2. El dispositivo NetScreen intercepta el mensaje y transmite losanalizador AV interno, que los examina en busca de virus.

3. Una vez finalizado el análisis, el dispositivo NetScreen sigue upasos:• Si no hay virus, reenvía el mensaje al cliente.• Si se descubre la presencia de un virus, envía un mensaje in

la infección al cliente.

Análisis antivirusde IMAP o POP3

Client

2


Zona Untrust

Internet

Si el mensaje analizado excede el ajuste de contenido máximo o si el análisis no se pudo compNetScreen sigue una línea de acción diferente en función del ajuste del modo de fallo. Consulte la ta


defensa 94

entes SMTP locales3 al ión que lleva a cabo el urado el comportamiento del

er otro servidor SMTP.

etScreen

eptor SMTP.

a “text/plain”, reemplaza el cuerpo te aviso y lo envía al receptor

filename name

a “text/plain”, reemplaza el cuerpo te aviso y lo envía al receptor

ido en busca de virus porque ro de código),y se descartó.er uno de los siguientes:

do grande

e contenido máx.e mensajes máx.


Análisis del tráfico SMTPPara el análisis de tráfico SMTP, el dispositivo NetScreen desvía el tráfico de los clianalizador AV interno antes de enviarlo al servidor de correo local. La siguiente accdispositivo NetScreen depende de los resultados del análisis y de cómo haya configmodo de fallo:

3. Puesto que un “cliente” SMTP se refiere a la entidad que envía el correo electrónico, un “cliente” puede, de hecho, s


no está contaminado aceptar o descartar transmite el mensaje al rec

contiene un virus aceptar o descartar cambia el tio de contenido del mensaje con el siguienSMTP:

VIRUS WARNINGContaminated File:Virus Name: virus_



descartar cambia el tio de contenido del mensaje con el siguienSMTP:

No se analizó el contenreason_text_str (núme

El reason_text_str puede sel archivo era demasiapor un error o limitaciónse excedió el tamaño dse excedió el número d


defensa 95

al al receptor SMTP con la línea a del siguiente modo:tr (No se analizó en busca de xt_str, number de código)

etScreen

a Trust

e al

te SMTP

ensaje de correo electrónico a un

ercepta el mensaje y transmite los rno, que los examina en busca de

s, el dispositivo NetScreen sigue uno

l mensaje al servidor local.ia de un virus, envía un mensaje

n al cliente.

etar con éxito, el dispositivo la anterior para los detalles.




aceptar transmite el mensaje originde título original modificad

original_subject_text_svirus porque reason_te


Zon

Servidor dcorreo loc

A

C

Zona DMZAnálisis antivirus SMTP

Clien

B


A. Un cliente SMTP envía un mservidor de correo local.

B. El dispositivo NetScreen intdatos al analizador AV intevirus.

C. Una vez finalizado el análiside estos pasos:• Si no hay virus, reenvía e• Si se descubre la presenc

informando de la infecció

Zona UntrustInternet

Servidor de correo remoto

1. Un servidor de correo remoto reenvía un mensaje de correo electrónico por SMTP al servidor de correo local.

2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus.

3. Una vez finalizado el análisis, el dispositivo NetScreen sigue uno de estos pasos:• Si no hay virus, reenvía el mensaje al servidor local.• Si se descubre la presencia de un virus, envía un mensaje

informando de la infección al servidor remoto.

3

12

Si el mensaje analizado excede el ajuste de contenido máximo o si el análisis no se pudo complNetScreen sigue una línea de acción diferente en función del ajuste del modo de fallo. Consulte la tab


defensa 96

(patrones) en el dispositivo r el dispositivo y adquirir una ón actual de la base de datos y e validez de la suscripción.

un archivo de firmas de virus , deberá registrar el dispositivo tinuar recibiendo

irus interno, debe registrar el er cargar el archivo de firmas

máximo de cuatro horas antes

s:tualizaciones del que el r.ini .i.

nsulte “Registro y activación de

es

URL = http://5gt-t.activeupdate .trendmicro.com/activeupdate /server.ini


Actualización del archivo de firmas AVPara utilizar el análisis AV es necesario cargar una base de datos de firmas de virusNetScreen y actualizar el archivo de firmas periódicamente. Para ello, debe registrasuscripción para el servicio de firmas de virus. La suscripción permite cargar la versiactualizarla cada vez que se publiquen nuevas versiones mientras dure el periodo dExisten dos procesos distintos para iniciar el servicio de firmas de virus:

• Si adquiere un dispositivo NetScreen con funciones antivirus, puede cargardurante un breve periodo de tiempo desde la fecha de compra. No obstantey adquirir una suscripción para el servicio de firmas de virus para poder conactualizaciones.

• Si actualiza su dispositivo NetScreen actual para poder utilizar análisis antivdispositivo y adquirir una suscripción para el servicio de firmas antes de podinicial. Una vez finalizado el proceso de registro, deberá esperar durante unde iniciar la descarga del archivo de firmas.

A continuación se describe el proceso de actualización del archivo de firmas de viru1. En el dispositivo NetScreen, especifique la dirección URL del servidor de ac

dispositivo solicita un archivo de inicialización de servidor denominado servePor ejemplo: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.in

Nota: Para obtener más información sobre el servicio de firmas de virus, colos servicios de suscripción” en la página 2 -463.

Servidor deactualizacionDispositivo NetScreen

Internet

Archivo server.ini

Petición de archivo para server.ini

Transferencia de archivo server.ini

Archivo server.ini


defensa 97

ón de servidor, el dispositivo ara obtener información acerca , y acerca de la ubicación del

debido a que es la primera vez vo de firmas actualizado del

a que la suscripción para el ipción es válida, el dispositivo oria RAM, y sobrescribe el , la actualización del archivo de a caducado.

evos virus. Puede configurar el a cierto tiempo o manualmente.

n con el servidor de archivos de

tualizar el archivo de firmas de

idor de de firmas

s de virus


2. Después de que el dispositivo NetScreen descarga el archivo de inicializaciNetScreen comprueba que el archivo server.ini es válido. Luego lo analiza pdel archivo de firmas actualizado, incluida la versión y el tamaño del mismoservidor del archivo de firmas.

3. Si el archivo de firmas del dispositivo NetScreen está caducado (o no existeque se carga un archivo), el dispositivo automáticamente recupera un archiservidor de archivos de firmas.

4. Una vez el dispositivo NetScreen ha descargado el archivo de firmas, verificservicio de actualización de archivos de firmas AV aún es válida. Si la suscrNetScreen guarda el nuevo archivo de firmas en la memoria flash y la memarchivo existente, en caso de que lo hubiera. Si la suscripción ha caducadofirmas se cancelará y aparecerá un mensaje indicando que la suscripción h

Las actualizaciones del archivo de firmas se agregan a medida que se propagan nudispositivo NetScreen para que actualice el archivo de firmas automáticamente cad

Nota: ScreenOS contiene un certificado CA para autenticar la comunicaciófirmas.

Nota: Cuando caduque la suscripción, el servidor de actualizaciones no permitirá acvirus.

Internet

ServarchivosDispositivo NetScreen

Petición del archivo de firmas

Archivo de firmas de virus Transferencia del archivo de firmas de virus

Archivo de firma


defensa 98

ivo de firmas automáticamente l servidor de actualizaciones se o.com/activeupdate/server.ini.

ga clic en OK :

tiveupdate/server.ini.

5 minutes (10~10080)

date.trendmicro.com/


Ejemplo: actualización automáticaEn este ejemplo, configuraremos el dispositivo NetScreen para que actualice el archcada 15 minutos. (El intervalo de actualización predeterminado es de 60 minutos). Eencuentra ubicado en la siguiente dirección URL: http://5gt-t.activeupdate.trendmicr

WebUI

Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha

Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/ac

Auto Pattern Update: (seleccione), Interval: 1

CLI

set av scan-mgr pattern-update-url http://5gt-t.activeupactiveupdate/server.ini interval 15

save


defensa 99

lizaciones se encuentra eupdate/server.ini.

ga clic en OK :

tiveupdate/server.ini.

e/server.ini


Ejemplo: Actualización manualEn este ejemplo, actualizará el archivo de firmas manualmente. El servidor de actuaubicado en la siguiente dirección URL: http://5gt-t.activeupdate.trendmicro.com/activ

WebUI


Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/ac

Update Now: (seleccione)

CLI

set av scan-mgr pattern-update-url http://5gt-t.activeupdate.trendmicro.com/activeupdat

exec av scan-mgr pattern-update


defensa 100

ferencia al analizador AV

rtafuegos, en la que o (“mailsrv1”, 1.2.2.5) de la

s y haga clic en Apply :

e)

OK :


e)


e)


Aplicación de análisis AVPara aplicar análisis AV al tráfico FTP, HTTP, IMAP, POP3, o SMTP, debe hacer re(“scan-mgr”) en las directivas.

Ejemplo: Análisis AV interno (POP3)En este ejemplo haremos referencia al analizador AV interno en una directiva de copermitiremos el tráfico POP3 desde direcciones en la zona Trust al servidor de correzona DMZ. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.

WebUI


Zone Name: Trust



Introduzca los siguientes datos y haga clic en

Interface Mode: NAT


Zone Name: DMZ




Zone Name: Untrust




defensa 101

lic en OK :

ga clic en OK :


ga clic en OK :


2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: mailsrv1



Zone: DMZ

3. Análisis AV de POP3Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha

Protocols to be scanned:

POP3: (seleccione)

4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient





5. DirectivaPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), mailsrv1

Service: POP3


defensa 102

ga clic en el botón << para e AV Object Names” a la

gateway 1.1.1.250

scan-mgr


Action: Permit

Análisis antivirus: Seleccione scan-mgr y hamover el objeto AV de la columna “Availablcolumna “Attached AV Object Names”.

CLI




2. Direcciónset address dmz mailsvr1 1.2.2.5/32

3. Análisis AV de POP3set av scan-mgr content pop3 timeout 20

4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

5. Directivaset policy from trust to dmz any mailsvr1 pop3 permit avsave


defensa 103

esidades de su entorno de red:

lo correo web), IMAP, POP3, y

ine únicamente determinados

eterminada, una operación de NetScreen no reciba todos los

y 1800 segundos.

p } timeout numbermtp } timeout

0 segundos).

TP. Los patrones de los


Ajustes del analizador AVPuede modificar los siguientes ajustes del analizador AV para atender mejor las nec

Análisis selectivo de contenidoDe forma predeterminada, el analizador AV examina el tráfico de tipo FTP, HTTP (sóSMTP.

Puede modificar el comportamiento predeterminado de modo que el analizador examtipos de tráfico de red.

También puede modificar el valor de tiempo de espera por protocolo. De forma predanálisis AV tiene un tiempo de espera de 180 segundos en caso de que el dispositivodatos que necesita para completar el análisis. Se puede ajustar un valor de entre 1

set av scan-mgr content { ftp | http | imap | pop3 | smtunset av scan-mgr content { ftp | http | imap | pop3 | s

El comando unset av restablece el tiempo de espera a su valor predeterminado (18

Nota: El analizador AV interno sólo examina patrones específicos de correo web HTservicio de correo de Yahoo!, Hotmail y AOL están predefinidos.


defensa 104

P (sólo correo web), IMAP, fico, puede aumentar el tiempo

ga clic en OK :

LI.


Ejemplo: Análisis de todos los tipos de tráficoEn este ejemplo, configurará el analizador AV para que examine el tráfico FTP, HTTPOP3, y SMTP. Puesto que usted prevé que el analizador deberá analizar mucho tráde espera de 180 segundos (el ajuste predeterminado) a 300 segundos.

WebUI



HTTP: (seleccione)

Webmail: (seleccione)

SMTP: (seleccione)

POP3: (seleccione)

FTP: (seleccione)

IMAP: (seleccione)

CLI

set av scan-mgr content http timeout 300set av scan-mgr content smtp timeout 300set av scan-mgr content pop3 timeout 300set av scan-mgr content ftp timeout 300set av scan-mgr content imap timeout 300save

Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz C


defensa 105

P y HTTP. Restablezca el valor ndos.

ga clic en OK :

LI.


Ejemplo: Análisis AV para SMTP y HTTPEn este ejemplo, configurará el analizador AV para que examine todo el tráfico SMTde tiempo de espera de ambos protocolos a sus valores predeterminados: 180 segu

WebUI



HTTP: (seleccione)

ALL HTTP: (seleccione)

SMTP: (seleccione)

POP3: (anule la selección)

FTP: (anule la selección)

IMAP: (anule la selección)

CLI

set av scan-mgr content smtp timeout 180set av scan-mgr content http timeout 180unset av http webmail enableunset av scan-mgr content pop3unset av scan-mgr content ftpunset av scan-mgr content imapsave

Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz C


defensa 106

que esté comprimido. De forma plo, si el analizador recibe un

dor los descomprimirá para prima hasta 4 archivos

mprimido” (10 MB de forma amaño del contenido recibido o del contenido sin examinarlo. uno. Si el analizador recibe ede modificar este gar de permitir su paso.

os unos dentro de otros. ibidos simultáneamente son

.

ga clic en OK :

4000~16000)

ceeds 4 files (1~16)


Descompresión y tamaño máximo de los contenidosCuando recibe contenidos, el analizador AV interno descomprime cualquier archivo predeterminada, descomprime hasta dos niveles de archivos comprimidos. Por ejemarchivo comprimido que incluye otro archivo adjunto también comprimido, el analizadetectar cualquier virus. Puede configurar el analizador AV interno para que descomcomprimidos unos dentro de otros.

El analizador AV examina un máximo de 16 mensajes y 16 MB de contenido “descopredeterminada) en un momento determinado. Si el número total de mensajes o el tjuntos exceden estos límites, el analizador permitirá de forma predeterminada el pasPor ejemplo, el analizador puede recibir y examinar cuatro mensajes de 4 MB cada nueve mensajes de 2 MB cada uno, permitirá su paso sin examinar el contenido. Pucomportamiento predeterminado de modo que el analizador descarte el tráfico en lu

Ejemplo: Descartar archivos de gran tamañoEn este ejemplo configurará el analizador AV para que descomprima hasta 3 archivTambién configurará el analizador para que descarte el contenido si los archivos recmás de cuatro o el tamaño “descomprimido” de los contenidos es superior a 12 MB

WebUIScreening > Antivirus > Scan Manager: Introduzca los siguientes datos y ha

File decompression: 3 layers (1~4)

Drop: (seleccione) file if it exceeds 3000 KB (

Drop: (seleccione) file if the number of files ex

CLIset av scan-mgr decompress-layer 3set av scan-mgr max-msgs 4set av scan-mgr max-content-size 3000set av scan-mgr max-content-size dropsave


defensa 107

táneamente para intentar V analice otro tráfico de datos. je máximo de recursos AV que je máximo es del 70%. Puede brá ninguna restricción a la

rigen.

je máximo de recursos AV por


Asignación de recursos a AVUn usuario con malas intenciones puede generar una gran cantidad de tráfico simulconsumir todos los recursos disponibles y de ese modo impedir que el analizador APara evitar que esto suceda, el dispositivo NetScreen puede determinar el porcentapuede consumir el tráfico de un único origen. De forma predeterminada, el porcentamodificar este ajuste a cualquier valor entre 1% y 100%. Si se ajusta al 100%, no hacantidad de recursos AV que pueda consumir el tráfico que provenga de un único o

WebUI

CLI

set av all resources numberunset av all resources

El comando unset av restablece al valor predeterminado (70%) el porcentaorigen.

Nota: Para configurar esta opción debe utilizar la interfaz CLI.


defensa 108

o puede finalizar una operación eterminada, si un dispositivo iva con la comprobación ue permita el paso del tráfico.

permitir el paso del tráfico sin .

alor predeterminado (bloquear

TP “close” para indicar el final en del encabezado de la leta la transmisión de datos, ado el envío de datos. Cuando P del servidor y puede ordenar

tilizar la opción de conexión de la transmisión de datos. El a enviando la longitud de los todo que se utilice dependerá


Comportamiento en modo de falloEl modo de fallo es el comportamiento que el dispositivo NetScreen aplica cuando nde análisis: permitir el paso del tráfico sin analizar, o bien bloquearlo. De forma predNetScreen no puede finalizar un análisis, bloquea el tráfico que permitiría una directantivirus habilitada. Este comportamiento predeterminado se puede modificar para q

WebUI

Screening > Antivirus > Global: Seleccione Fail Mode Traffic Permit para examinar, o anule la selección para bloquearlo, y luego haga clic en Apply

CLI

set av all fail-mode traffic permitunset av all fail-mode traffic

El comando unset av restablece el comportamiento en modo de fallo a su vel tráfico no analizado).

Método HTTP Keep-AliveDe forma predeterminada, el dispositivo NetScreen utiliza la opción de conexión HTde la transmisión de datos. (Si es necesario, el dispositivo NetScreen modifica el tokconexión de “keep-alive” a “close”). En este método, cuando el servidor HTTP compenvía un comando TCP FIN para cerrar la conexión TCP y así indicar que ha finalizel dispositivo NetScreen recibe un comando TCP FIN, contiene todos los datos HTTal analizador AV que comience el análisis.

Puede cambiar el comportamiento predeterminado del dispositivo NetScreen para uHTTP “keep-alive”, en la que no se envía un comando TCP FIN para indicar el final servidor HTTP debe indicar de otra forma que se han enviado todos los datos, ya secontenidos en el encabezado HTTP o con alguna otra forma de codificación. (El mé


defensa 109

ientras se realice el análisis go, no resulta tan seguro como que las conexiones HTTP

de conexión “keep-alive”, o en Apply .

no analizado al cliente HTTP o de espera mientas VirusWall as cantidades de datos antes TP está inhabilitado. Para tos pasos:

Default y haga clic en Apply .

l tamaño de un archivo HTTP iado a analizar.


del tipo de servidor). Este método hace que la conexión TCP permanezca abierta mantivirus, lo que disminuye la latencia y mejora el rendimiento de la CPU. Sin embarel método de conexión “close”. Este comportamiento se puede modificar si detecta superan el tiempo de espera durante el análisis antivirus.

WebUI

Screening > Antivirus > Global: Seleccione Keep Alive para usar la opciónanule la selección para usar la opción de conexión “close”, y luego haga clic

CLI

set av http keep-aliveunset av http keep-alive

Goteo HTTPComo goteo HTTP se entiende el reenvío de cantidades específicas de tráfico HTTPsolicitante. De este modo se evita que la ventana del explorador sobrepase el tiempexamina los archivos HTTP descargados. (El dispositivo NetScreen reenvía pequeñde transferir un archivo analizado completo). De forma predeterminada, el goteo HThabilitarlo y utilizar los parámetros predeterminados del goteo HTTP, siga uno de es

WebUI

Screening > Antivirus > Global: Seleccione la casilla de verificación Trickling

CLI

set av http trickling default

Con los parámetros predeterminados, el dispositivo NetScreen emplea el goteo si esupera 3 MB de tamaño. Reenviará 500 bytes de contenido por cada megabyte env


defensa 110

n Apply :

dique number1 .

ing: Indique number3 .

ue comience el goteo

dispositivo NetScreen

ispositivo NetScreen aplicará el

> Antivirus: haga clic en 0 0 0 . En cualquier caso, si el HTTP, es muy probable que la

aparecerán como un pequeño dades de datos a un cliente sin positivo NetScreen ha enviado en esos archivos.


Para cambiar los parámetros del goteo HTTP, siga uno de estos pasos:

WebUI

Screening > Antivirus > Global: Introduzca los siguientes datos y haga clic e

Trickling:

Custom: (seleccione)

Minimum Length to Start Trickling: In

Trickle Size: Indique number2 .

Trickle for Every MB Sent for Scann

CLI

set av http trickling number1 number3 number2

Las tres variables numéricas tienen los siguientes significados:

– number1: tamaño mínimo (en megabytes) de un archivo HTTP para q

– number2: tamaño (en bytes) del tráfico no analizado que reenviará el

– number3: tamaño (en megabytes) de un bloqueo de tráfico al que el dgoteo

Puede inhabilitar el goteo HTTP por medio de la interfaz WebUI (Screening Disable en la sección Trickling) o con el comando CLI set av http tricklingarchivo que se va a descargar supera los 8 MB y se ha desactivado el goteoventana del explorador rebase el tiempo de espera.

Nota: Los datos sometidos al proceso de goteo en el disco duro del cliente archivo sin utilidad. Dado que el goteo funciona reenviando pequeñas cantianalizarlos, el código malicioso podría encontrarse entre los datos que el disal cliente por goteo. Juniper Networks recomienda a los usuarios que elimin

Capítulo 4 Supervisión y filtrado de contenidos Filtrado de URL

defensa 111

esos a Internet e impedir el do de URL:

itado asociando un perfil de a las categorías de URL y la recibe una petición para finidas que se encuentran en

mo configurar la función de

HTTP de una conexión TCP a itir el acceso a diferentes sitios rmación sobre cómo configurar URL” en la página 126.


FILTRADO DE URLEl filtrado de URL, denominado también filtrado de web, permite administrar los accacceso a contenidos no apropiados. NetScreen proporciona dos soluciones de filtra

• Filtrado de URL integrado

• Filtrado de URL redirigida

Con el filtrado de URL integrado, puede permitir o bloquear el acceso a un sitio solicfiltrado de URL a una directiva de cortafuegos. Un perfil de filtrado de URL especificacción que el dispositivo NetScreen debe llevar a cabo (permitir o bloquear) cuandoacceder a una URL de cada categoría. Las categorías de URL pueden ser las predeSurfControl o pueden estar definidas por el usuario. Para más información sobre cófiltrado de URL integrado, consulte “Filtrado de URL integrado” en la página 112.

Con el filtrado de URL redirigida, el dispositivo NetScreen envía la primera petición un servidor Websense o a un servidor SurfControl. Esto le permite bloquear o permbasándose en las URL, los nombres de dominio y las direcciones IP. Para más infola función de filtrado de URL redirigida, consulte “Redireccionamiento del filtrado de


efensa 112

TP y luego determina si u URL y la compara con un e filtrado de URL define, uear el acceso) cuando

ositivos NetScreen utilizan a URL. Los servidores los tipos de contenidos web finidas y una descripción de . Además de las categorías

cíficas según sus rio, consulte “Categorías

ndo un host de la zona Trust

e aplique al tráfico.

dicha directiva, el dispositivo

esté asociado a la directiva .

guardó en caché. Si la ía la URL al servidor

ueba si ésta se encuentra en s.

l acceso a la URL tal y como

esté configurada.


Filtrado de URL integradoCon el filtrado de URL integrado, el dispositivo NetScreen intercepta cada petición HTpermite o bloquea el acceso a un sitio solicitado. Para ello, establece la categoría de sperfil de filtrado URL. Un perfil de filtrado de URL se asocia a una directiva. Un perfil dsegún la categoría, la acción que el dispositivo NetScreen lleva a cabo (permitir o bloqrecibe una petición para acceder a una URL.

Una categoría de URL es una lista de URLs organizadas según su contenido. Los displas categorías de URL predefinidas en SurfControl para determinar la categoría de unSurfControl Content Portal Authority (CPA) contienen la mayor base de datos de todosclasificados en unas 40 categorías. Para obtener una lista de categorías de URL predelas URL de cada categoría, visite la página web de SurfControl en www.surfcontrol.comde URL predefinidas por SurfControl, puede agrupar las URLs y crear categorías espenecesidades. Para obtener información acerca de las categorías definidas por el usuaURL” en la página 115.

A continuación se muestra la secuencia básica de acontecimientos que se produce cuaintenta establecer una conexión HTTP con un servidor de la zona Untrust.

1. El dispositivo NetScreen comprueba si hay una directiva de cortafuegos que s

– Si no hay directiva de cortafuegos para el tráfico, lo descarta.

– Si hay una directiva de cortafuegos y el filtrado de URL está activado en NetScreen intercepta todas las peticiones HTTP.

2. El dispositivo NetScreen comprueba si hay un perfil definido por el usuario quede cortafuegos. Si no hay ninguno, utiliza el perfil predeterminado, ns-profile

3. El dispositivo NetScreen comprueba si la categoría de la URL solicitada ya secategoría de la URL no está guardada en caché, el dispositivo NetScreen envSurfControl CPA para su clasificación, y guarda en caché el resultado.

4. Una vez que el dispositivo NetScreen establece la categoría de la URL, comprel perfil de filtrado de URL que está relacionado con la directiva de cortafuego

– Si la categoría se encuentra en el perfil, el dispositivo bloquea o permite ese especifique en el perfil.

– Si la categoría no está en el perfil, realiza la acción predeterminada que


defensa 113

los siguientes pasos:

nal, aplique un perfil de filtrado

res de dominios como NS de modo que el dispositivo ner información sobre el DNS, -379).

en un dispositivo NetScreen. Si los comandos específicos en el

urar los parámetros del filtrado


Para configurar un dispositivo NetScreen para el filtrado de URL, debe llevar a cabo

1. Configure un servidor de nombres de dominio (DNS).

2. Active el filtrado de URL integrado en el dispositivo NetScreen.

3. Defina las categorías (opcional).

4. Defina los perfiles (opcional).

5. Habilite el filtrado de URL en una directiva de cortafuegos y, de forma opciode URL a la directiva de cortafuegos.

Las secciones siguientes describen cada paso.

Servidor de nombres de dominios (DNS)El dispositivo NetScreen es compatible con DNS, lo que permite utilizar tanto nombdirecciones IP para identificar ubicaciones. Debe configurar al menos un servidor DNetScreen pueda resolver el nombre del servidor CPA para una dirección. Para obteconsulte “Compatibilidad con DNS (sistema de nombres de dominio)” en la página 2

Contexto de filtrado de URLPuede utilizar los comandos WebUI o CLI para habilitar el filtrado de URL integrado utiliza la interfaz CLI, debe introducir el contexto de filtrado de URL antes de indicar filtrado de URL integrado. Introduzca el siguiente comando:

set url protocol sc-cpa

Después de haber introducido el comando anterior, el mensaje se modificará.

ns(url:sc-cpa)->

Este cambio indica que ha entrado en el contexto de filtrado de URL y puede configde URL integrado.


defensa 114

.

fControl) , y luego haga clic en ga clic en Apply de nuevo.


Ejemplo: Activar el filtrado de URLEn este ejemplo, habilitará el filtrado de URL integrado en un dispositivo NetScreen

WebUI

Screening > URL Filtering > Protocol Selection: Seleccione Integrated (Sur Apply . Luego seleccione Enable URL Filtering via CPA Server y ha

CLI

ns-> set url protocol sc-cpans(url:sc-cpa)-> set enablens(url:sc-cpa)-> exitns-> save


defensa 115

ategorías: predefinidas y ara obtener una lista de

site la página web de efinidas de SurfControl, ejecute

SurfControl. Aunque no puede de un sitio web usando la


Categorías URLUna categoría es una lista de URLs agrupadas por su contenido. Hay dos tipos de cdefinidas por el usuario. SurfControl contiene cerca de 40 categorías predefinidas. Pcategorías de URL predefinidas y una descripción de las URL de cada categoría, viSurfControl en www.surfcontrol.com. Para visualizar la lista de categorías URL predel comando siguiente:

WebUI

Screening > URL Filtering > Profile > Predefine Category

CLI

ns-> set url protocol sc-cpans(url:sc-cpa)-> get category pre

La lista de categorías mostrada es similar al siguiente:

Type code Category name------------------------------------------ PreDefine 90 Adult/Sexually Explicit PreDefine 76 Advertisements PreDefine 50 Arts & Entertainment PreDefine 3001 Chat PreDefine 75 Computing & Internet PreDefine 91 Criminal Skills

.

.

.

La lista de categorías predefinidas muestra las categorías y sus códigos internos dehacer una lista de las URLs dentro de una categoría, puede determinar la categoríafunción “Test A Site” en el sitio web de SurfControl en www.surfcontrol.com.


defensa 116

URLs y crear categorías Cuando cree una categoría, a categoría definida por el

e host en direcciones IP y biendo la dirección IP, el intenta resolver el nombre del

ian cada cierto tiempo. Un en la lista guardada en caché que está agregando a una

como en una categoría el usuario.

: www.games1.com and

uientes datos y haga clic en

OK:


Además de las categorías de URLs predefinidas por SurfControl, puede agrupar lasespecíficas según sus necesidades. Puede incluir hasta 20 URL en cada categoría.puede agregar la URL o la dirección IP de un sitio. Cuando se agrega una URL a unusuario, el dispositivo NetScreen realiza una consulta de DNS, reuelve el nombre dguarda en caché esta información. Cuando un usuario intenta acceder un sitio escridispositivo NetScreen comprueba la lista grabada en caché de las direcciones IP e host.

Muchos sitios tienen direcciones IP dinámicas, por lo tanto sus direcciones IP cambusuario que intente acceder a un sitio puede escribir a una dirección IP que no estéen el dispositivo NetScreen. Por lo tanto, si conoce a las direcciones IP de los sitioscategoría, escriba tanto la URL como la(s) dirección(es) IP del sitio.

Tenga en cuenta que si una URL está tanto en una categoría definida por el usuariopredefinida, el dispositivo NetScreen empareja la URL con la categoría definida por

Ejemplo: Categoría de URLEn este ejemplo, creará una categoría denominada Competitors, y añadirá las URLwww.games2.com.

WebUI

Screening > URL Filtering > Profile > Custom List > New: Introduzca los sigApply:

Category Name: Competitors

URL: www.games1.com


URL: www.games2.com


defensa 117

.com

.com

pondientes acciones:

ositivo NetScreen bloquea el RL.

ue se encuentran en la lista r el usuario o utilizar una

ue se encuentran en la lista or el usuario o utilizar una

perfil incluye una lista de las perfil predeterminado no se etScreen preestablecido,


CLI

ns-> set url protocol sc-cpans(url:sc-cpa)-> set category competitors url www.games1ns(url:sc-cpa)-> set category competitors url www.games2ns(url:sc-cpa)-> exitns-> save

Perfiles de filtrado URLUn perfil de filtrado de URL consiste en un grupo de categorías de URL y sus corres

• Permit: el dispositivo NetScreen permite el acceso al sitio.

• Block: El dispositivo NetScreen no permite el acceso al sitio. Cuando el dispacceso a un sitio, muestra un mensaje en el que se indica la categoría de U

• Black List: El dispositivo NetScreen siempre bloquea el acceso a los sitios qnegra (black list). Para la lista negra, puede crear una categoría definida pocategoría predefinida.

• White List: El dispositivo NetScreen siempre permite el acceso a los sitios qblanca (white list). Para la lista blanca, puede crear una categoría definida pcategoría predefinida.

NetScreen proporciona un perfil predeterminado que se denomina ns-profile . Estecategorías de URL predefinidas en SurfControl y sus acciones correspondientes. Unpuede editar ni se puede añadir a una lista blanca o negra. Para visualizar el perfil Nejecute el siguiente comando:

WebUI

Screening > URL Filtering > Profile > Predefined Profile

CLI

ns(url:sc-cpa)-> get profile ns-profile


defensa 118

inuación:

as en el perfil predeterminado,

erfil. Para duplicar el ns-profile,

Clone .


El dispositivo NetScreen muestra el perfil preestablecido tal y como se indica a cont

url filtering profile name: ns-profile black-list category: none white-list category: none Category Action-------------------------------------------- Adult/Sexually Explicit block Advertisements block Arts & Entertainment permit Chat permit Computing & Internet permit

.

.

. Violence block Weapons blockWeb-based Email permit other permit

Si la URL de una petición HTTP no se encuentra en ninguna de las categorías incluidla acción predeterminada del dispositivo NetScreen es permitir el acceso al sitio.

Puede crear un perfil que sea similar a ns-profile duplicándolo y editando un nuevo plleve a cabo el siguiente procedimiento en la WebUI.

WebUI

Screening > URL Filtering > Profile > Custom Profile: ns-profile: Seleccione

Nota: Debe utilizar la interfaz WebUI para duplicar el perfil predefinido ns-profile.


defensa 119

e filtrado URL, se puede:

SurfControl

ermit” predeterminada. A fil my-profile con la acción

CLI, debe especificar la acción


OK :

k


También puede crear su propio perfil de filtrado de URL. Cuando se crea un perfil d

• Agregar las categorías de URL definidas por el usuario y las predefinidas de

• Especificar una categoría para la lista negra o para la lista blanca

• Modificar la acción predeterminada

Ejemplo: Perfil de filtrado de URLEn este ejemplo, creará un perfil de cliente denominado my-profile con la acción “pcontinuación, añadirá la categoría creada en el ejemplo anterior (Competitors) al pre“block”. Tenga en cuenta que, cuando configure la acción predeterminada utilizandopara la categoría “Other”.

WebUI

Screening > URL Filtering > Profile > Custom Profile > New: Introduzca los Apply :

Profile Name: my-profile

Default Action: Permit

Seleccione los siguientes datos y haga clic en

Subscribers Identified by:

Category Name: Competitors (seleccione)

Action: Block (seleccione)

Configure: Add (seleccione)

CLI

ns-> set url protocol sc-cpans(url:sc-cpa)-> set profile my-profile other permit ns(url:sc-cpa)-> set profile my-profile competitors blocns(url:sc-cpa)-> exitns-> save


defensa 120

idireccional entre dos puntos. ivas” en la página 2 -307.) En L integrado. (Para obtener

reen intercepta todas las sitivo NetScreen empareja la secuencia: lista negra, lista fControl. Si el dispositivo eso a la URL basándose en la

ontenido de la transacción a, el dispositivo NetScreen ado un análisis AV.

Predeterminado: Bloquear/Permitir


Perfiles y directivas de URLLas directivas de cortafuegos permiten o deniegan determinados tipos de tráfico un(Para obtener más información sobre las directivas de cortafuegos, consulte “Directuna directiva se puede activar tanto el análisis antivirus (AV) como el filtrado de URinformación sobre análisis AV, consulte “Análisis antivirus” en la página 86).

Cuando se habilita el filtrado de URL integrado en una directiva, el dispositivo NetScpeticiones HTTP. Si hay un perfil de filtrado de URL asociado a la directiva, el dispoURL de la petición HTTP entrante con las categorías del perfil siguiendo la siguienteblanca, categorías definidas por el usuario y categorías de URL predefinidas de SurNetScreen no encuentra la categoría de la URL solicitada, bloquea o permite el accacción predeterminada que esté configurada.

Si la URL está autorizada, el dispositivo NetScreen lleva a cabo un análisis AV del csiempre que dicho análisis AV esté activado y configurado. Si la URL está bloqueadcierra la conexión TCP, envía un mensaje al usuario y no comprueba si se ha realiz

¿En lista negra?

Bloquear URL

¿En lista blanca?

Permitir URL

¿En categoría de usuario?

Bloquear/permitir según lo definido

¿En categoría predefinida?

Bloquear/permitir según lo definido

S S S S

N N N N

Petición HTML


defensa 121

y bloqueará el acceso a los

p2.com.

fControl) , y luego haga clic en ga clic en Apply de nuevo.

uientes datos y haga clic en

OK :


Ejemplo: Filtrado de URL integradoEn este ejemplo, habilitará el filtrado de URL integrado en el dispositivo NetScreen sitios de la competencia. Realice la siguiente configuración:

1. Cree una categoría llamada Competitors.

2. Agregue las siguientes URL a la categoría: www.comp1.com and www.com

3. Cree un perfil denominado my-profile.

4. Agregue la categoría Competitors a my-profile.

5. Aplique my-profile a una directiva cortafuegos.

WebUI

1. Filtrado de URLScreening > URL Filtering > Protocol Selection: Seleccione Integrated (Sur

Apply . Luego seleccione Enable URL Filtering via CPA Server y ha

2. Categoría de URLScreening > URL Filtering > Profile > Custom List > New: Introduzca los sig Apply :

Category Name: Competitors

URL: www.comp1.com


URL: www.comp2.com


defensa 122


continuación haga clic en OK :

haga clic en OK :


3. Perfil de filtrado de URLScreening > URL Filtering > Profile > Custom Profile > New: Introduzca los Apply :

Profile Name: my-profile

Default Action: Permit

En la sección Subscribers Identified by , realice la siguiente selección y a

Category Name: Competitors (seleccione)

Action: Block (seleccione)

Configure: Add (seleccione)

4. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: HTTP

URL Filtering: (seleccione), my-profile

Action: Permit


defensa 123

omom

k

permit url-filter

le


CLI

1. Filtrado de URLns-> set url protocol sc-cpans(url:sc-cpa)-> set enable

2. Categoría de URLns(url:sc-cpa)-> set category competitors url www.comp.cns(url:sc-cpa)-> set category competitors url www.comp.c

3. Perfil de filtrado de URLns(url:sc-cpa)-> set profile my-profile other permit ns(url:sc-cpa)-> set profile my-profile competitors blocns(url:sc-cpa)-> exit

4. Directiva de cortafuegosns-> set policy id 23 from trust to untrust any any httpns-> set policy id 23ns(policy:23)-> set url protocol sc-cpa profile my-profins(policy:23)-> exitns-> save


defensa 124

cio a un área geográfica dor primario predeterminado es uede modificar el servidor

áticamente un servidor de ra América, que a su vez es el

uesto que el servidor CPA no etScreen hace un sondeo del ispositivo NetScreen realiza eterminado para que se ajuste

al, para ello indique el contexto


Servidores SurfControlSurfControl posee tres ubicaciones de servidor, cada una de las cuales presta servideterminada: América, Asia y el Pacífico y Europa central y del este y África. El serviel de América y el servidor de respaldo predeterminado es el de Asia y el Pacífico. Pprimario y, en función del que se escoja, el dispositivo NetScreen selecciona automrespaldo. (El servidor de Asia y el Pacífico es el servidor de respaldo del servidor paservidor de respaldo de los otros dos).

El servidor SurfControl CPA actualiza sus listas de categorías de forma periódica. Penvía ninguna notificación a sus clientes cuando actualiza las listas, el dispositivo Nservidor CPA de forma periódica. De forma predeterminada, cada dos semanas el dconsultas al servidor CPA sobre las actualizaciones. Puede modificar este valor preda su entorno de red. También puede actualizar la lista de categorías de forma manude filtrado de URL y ejecute el comando exec url cate-list-update .


defensa 125

de las URLs por categorías. vez que un dispositivo recibe año del caché y el tiempo que del entorno de red. El tamaño horas.

8 horas.

guientes datos y haga clic en


Caché del filtrado de URLDe forma predeterminada, el dispositivo NetScreen guarda en caché la clasificaciónEsto reduce la sobrecarga que supone el acceso al servidor SurfControl CPA cada una nueva petición de una URL solicitada anteriormente. Se puede configurar el tamlas URLs permanecen en ella en función del rendimiento y los requisitos de memoriadel caché depende de la plataforma y el tiempo de espera predeterminado es de 24

Ejemplo: Parámetros del cachéEn este ejemplo, modificará el tamaño del caché a 400 kB y el tiempo de espera a 1

WebUI

Screening > URL Filtering > Protocol Selection > SC-CPA: Introduzca los si Apply :

Enable Cache: (seleccione)

Cache Size: 400 (K)

Cache Timeout: 18 (Hours)

CLI

ns-> set url protocol sc-cpans(url:sc-cpa)-> set cache size 400ns(url:sc-cpa)-> set cache timeout 18ns(url:sc-cpa)-> exitns-> save


fensa 126

e Engine o SurfControl Web Ls, nombres de dominio y Websense o SurfControl de

e cuando un host en la zona bargo, el filtrado de URL

ebsense.com. Para obtener

Servidor HTTP


Redireccionamiento del filtrado de URLNetScreen admite el redireccionamiento del filtrado de URL usando Websense EnterprisFilter, que permite bloquear o permitir el acceso a diferentes sitios basándose en sus URdirecciones IP. El dispositivo NetScreen se puede conectar directamente con un servidorfiltrado de URL.

La siguiente ilustración muestra la secuencia básica de acontecimientos que se producTrust intenta establecer una conexión HTTP con un servidor en la zona Untrust. Sin emdetermina que la URL está prohibida.

Nota: Para obtener información adicional sobre Websense, visite la página web www.winformación adicional sobre SurfControl, visite www.surfcontrol.com.

��

Establecimiento de comunicación TCP de

3 fasesPetición

HTTP-Get

Petición de filtrado de URL

Respuesta de filtrado de URL: “block” (bloquear)

Mensaje de URL bloqueada

El dispositivo NetScreen intercepta y almacena en búfer la petición HTTP GET. A continuación envía la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de bloqueo.

TCP RST

El dispositivo NetScreen descarta el paquete HTTP y envía al origen un mensaje “blocked URL”. Cierra la conexión, enviando un TCP RST a las direcciones de origen y de destino.

ACKSYN / ACK

SYN

RST RST

HTTP GET

BLCK URL

2

3 4

5

1

Zona Trust Zona Untrust

Cliente HTTP

set policy from trust to untrust any any http permit url-filter

Servidor de filtrado de URL (en la zona Trust)

URL bloqueada


defensa 127

cimientos en el intento de

K

T

ust

Servidor HTTP

T

T

T


Si el servidor de filtrado de URL permite el acceso a la URL, la secuencia de aconteconexión HTTP será tal y como se indica a continuación:

��

Establecimiento de comunicación TCP

de 3 fases

Petición HTTP-Get

Petición de filtrado de URL

Respuesta de filtrado de URL:

“permit” (permitir)

Reenvío de la petición HTTP GET

El dispositivo NetScreen intercepta y almacena en búfer la petición HTTP GET. A continuación envía la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de permiso.

ACKSYN / AC

SYN

HTTP GE

HTTP GET2

3 4

5

1

Zona Trust Zona Untr

Cliente HTTP

set policy from trust to untrust any any http permit url-filter

URL permitida

El dispositivo NetScreen reenvía el paquete HTTP almacenado en búfer a la dirección de destino. También permite el paso de otras peticiones HTTP GET en la misma sesión sin realizar más filtrados de URL.

6Otras peticiones HTTP GET sin

filtrado URL

HTTP PU

HTTP GETHTTP PU

HTTP GETHTTP PU

Servidor de filtrado de URL (en la zona Trust)

HTTP GET


defensa 128

filtrado de URL distintos: un do de sistemas virtuales, y siete Un administrador del nivel raíz sistemas virtuales (vsys). Un tual, siempre que dicho sistema vel vsys utiliza los ajustes del e URL de nivel raíz.

var a cabo los siguientes pasos:

RL.

njunto de parámetros se puede iltrado de URL con el sistema de su propio servidor de filtrado

rvidor WebSense o un servidor el dispositivo NetScreen.

ol (SCFP). Seleccione este

lícelo si desea la solución de do de URL integrado, consulte

I:


Los dispositivos NetScreen con sistemas virtuales admiten hasta ocho servidores de servidor reservado para el sistema raíz, que se puede compartir con un número ilimitaservidores de filtrado de URL para el uso privado por parte de los sistemas virtuales. puede configurar el módulo de filtrado de URL en el nivel de sistema raíz y el nivel deadministrador del nivel vsys puede configurar el módulo URL de su propio sistema virdisponga de su propio servidor de filtrado de URL dedicado. Si el administrador del niservidor raíz de filtrado de URL, podrá ver (pero no modificar) los ajustes de filtrado d

Para configurar un dispositivo NetScreen para el reenvío del filtrado de URL, debe lle

1. Establezca la comunicación con un máximo de ocho servidores de filtrado U

2. Defina ciertos parámetros de comportamiento en el nivel de sistema. Un coaplicar al sistema raíz y a cualquier vsys que comparta la configuración de fraíz. Otros conjuntos se pueden aplicar a sistemas virtuales que dispongan de URL dedicado.

3. Active el filtrado de URL a los niveles raíz y vsys.

4. Habilite el filtrado de URL en directivas individuales.

A continuación se detallan estos pasos.

1. Comunicaciones de dispositivo a dispositivoPuede configurar el dispositivo NetScreen para que se comunique con un seSurfControl. Primero debe seleccionar el servidor con el que va a conectar Seleccione una de las siguientes opciones:

– Un servidor Websense.

– Un servidor SurfControl que utilice SurfControl Content Filtering Protocservidor para esta característica.

– Un servidor SurfControl que utilice Content Portal Authority (CPA). Utifiltrado de URL integrado. (Para obtener más información sobre el filtra“Filtrado de URL integrado” en la página 112).

Para seleccionar el tipo de servidor, puede utilizar el siguiente comando CL

set url protocol type { websense | scfp |sc-cpa }


defensa 129

Filtering > Protocol.

ortamiento del dispositivo istema raíz, también se o de URL con el sistema raíz. do de URL dedicado, el separado para ese vsys.

las comunicaciones de

l equipo en el que se ejecuta el

, también debe cambiarlo en el 68, y el puerto predeterminado mentación sobre Websense o

ia las peticiones de filtrado URL

l cual el dispositivo NetScreen responde dentro del tiempo , según se haya configurado. .

t_num

tes en la página Screening > ing > Protocol > SurfControl.


En la interfaz WebUI, seleccione el protocolo en la página Screening > URL

Luego debe definir los ajustes del filtrado de URL y los parámetros de compNetScreen en relación con el filtrado URL. Si configura estos ajustes en el saplicarán a cualquier sistema virtual que comparta la configuración de filtradEn el caso de un sistema virtual que disponga de su propio servidor de filtraadministrador raíz o el administrador vsys deberá configurar los ajustes por

Los ajustes de filtrado de URL que debe definir en el nivel de sistema para dispositivo a dispositivo son éstos:

– Server Name: dirección IP o nombre de dominio completo (FQDN) deservidor Websense o SurfControl.

– Server Port: si ha modificado el puerto predeterminado en el servidordispositivo NetScreen. (El puerto predeterminado de Websense es 158de SurfControl es 62252). Para obtener más detalles, consulte la docuSurfControl.

– Source Interface: el origen desde el cual el dispositivo NetScreen inica un servidor de filtrado de URL.

– Communication Timeout: intervalo de tiempo en segundos durante eespera una respuesta del servidor de filtrado de URL. Si el servidor noespecificado, el dispositivo NetScreen bloquea la petición o la permitePara el intervalo de tiempo, puede introducir un número entre 10 y 240

Puede utilizar el siguiente comando CLI para configurar estos ajustes:

set url server { ip_addr | dom_name } port_num timou

En la interfaz WebUI, introduzca estos ajustes en los campos correspondienURL Filtering > Protocol > Websense o en la página Screening > URL Filter


defensa 130

tema (raíz o sistema virtual) n las opciones de

pierde el contacto con el ock”) o permitir (“Permit”)

cibe cuando Websense o urfControl , el dispositivo l servidor Websense o el mensaje previamente

reen envía al usuario tras Websense o SurfControl, o el dispositivo NetScreen.

tes en la página Screening > ing > Protocol > SurfControl.

Websense, como el


2. Parámetros de comportamiento en el nivel de sistemaEn segundo lugar debe definir los parámetros de comportamiento que el sisdeberá adoptar en relación con el filtrado de URL. A continuación se ofrececomportamiento:

– Si se pierde la conexión con el servidor: si el dispositivo NetScreenservidor de filtrado de URL, puede especificar si desea bloquear (“Bltodas las peticiones HTTP.

– Blocked URL Message Type: el origen del mensaje que el usuario reSurfControl bloquea un sitio. Si selecciona NetPartners Websense/SNetScreen reenvía el mensaje recibido en la respuesta de bloqueo deSurfControl. Si selecciona NetScreen , el dispositivo NetScreen envíaintroducido en el campo NetScreen Blocked URL Message.

– NetScreen Blocked URL Message: mensaje que el dispositivo NetScbloquear un sitio. Puede utilizar el mensaje enviado desde el servidor crear un mensaje (de hasta 500 caracteres) para que se envíe desde

Puede utilizar los siguientes comandos CLI para configurar estos ajustes:

set url fail-mode { block | permit }set url type { netScreen | server }set url message string

En la interfaz WebUI, introduzca estos ajustes en los campos correspondienURL Filtering > Protocol > Websense o en la página Screening > URL Filter

Nota: Si selecciona NetScreen , algunas de las funciones que ofreceredireccionamiento, quedarán suprimidas.


defensa 131

el de sistema. En el caso de un habilitar el filtrado de URL para de URL se aplique en el temas.

de URL en el nivel de sistema:

ering en la página Screening > ing > Protocol > SurfControl.

comprobará el tráfico HTTP al de URL redirigiendo las rado de URL en el nivel de rado de URL en las directivas y

tacto con el servidor de filtrado

una directiva:

ce permit url-filter

ágina de configuración de

nse o SurfControl. Para gina Screening > URL Filtering l > SurfControl en la interfaz


3. Activación en el nivel de sistemaUna vez finalizada la configuración, debe habilitar el filtrado de URL en el nivdispositivo NetScreen que actúe como host para sistemas virtuales, deberá cada sistema en el que desee aplicarlo. Por ejemplo, si desea que el filtradosistema raíz y en un sistema virtual, deberá habilitar el filtrado en ambos sis

Puede utilizar el siguiente comando CLI para activar y desactivar el filtrado

set url config { disable | enable }

En WebUI, seleccione o desactive la casilla de verificación Enable URL FiltURL Filtering > Protocol > Websense o en la página Screening > URL Filter

Si habilita el filtrado de URL en el nivel de sistema, el dispositivo NetScreenque se apliquen las directivas (definidas en ese sistema) relativas al filtradopeticiones HTTP a un servidor Websense o SurfControl. Si deshabilita el filtsistema, el dispositivo NetScreen no tendrá en cuenta el componente de filtlas considerará simples directivas de permiso.

4. Aplicación en el nivel de directivasFinalmente podrá configurar el dispositivo NetScreen para que entre en conde URL según cada directiva.

Puede utilizar el siguiente comando CLI para habilitar el filtrado de URL en

set policy from zone to zone src_addr dst_addr servi

En la interfaz WebUI, seleccione la casilla de verificación URL Filter en la pdirectivas de aquella en la que desee aplicar el filtrado de URL.

Nota: El dispositivo NetScreen informa sobre el estado del servidor Webseactualizar el informe de estado, haga clic en el icono Server Status de la pá> Protocol > Websense o de la página Screening > URL Filtering > ProtocoWebUI.


defensa 132

ervidor SurfControl en la e filtrado URL se encuentra en ts situados en la zona Trust l servidor de filtrado URL, HTTP solicita el acceso a una

“We’re sorry, but the requested resa.com.”

rfaz de la zona Trust es inio de enrutamiento trust-vr.

las interfaces del dispositivo a 10.1.1.250.


e)

OK :


e)


Ejemplo: Configuración del filtrado de URLEn este ejemplo configurará el dispositivo NetScreen para que se combine con un sdirección IP 10.1.2.5, con el número de puerto 62252 (predeterminado). El servidor dla zona Trust. Queremos aplicar el filtrado a todo el tráfico HTTP saliente desde hoshacia hosts en la zona Untrust. Si el dispositivo NetScreen pierde la conexión con equeremos que el dispositivo NetScreen permita el tráfico HTTP saliente. Si un clienteURL prohibida, queremos que el dispositivo NetScreen envíe el siguiente mensaje: URL is prohibited. If this prohibition appears to be in error, contact ntwksec@miemp

La interfaz de la zona Untrust es ethernet3 y tiene la dirección IP 1.1.1.1/24. La inteethernet1 y tiene la dirección IP 10.1.1.1/24. Las dos zonas se encuentran en el domComo el servidor de filtrado URL no se encuentra en la subred inmediata de una deNetScreen, deberá agregarle una ruta a través de ethernet1 y del enrutador interno

WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




defensa 133

haga clic en Apply. Introduzca

requests: Permit

os, pero la URL solicitada está [email protected].




2. Servidor de filtrado de URLScreening > URL Filtering > Protocol: Seleccione Redirect (SurfControl) ylos siguientes datos y haga clic en Apply de nuevo:

Enable URL Filtering: (seleccione)

Server Name: 10.1.2.5

Server Port: 15868

Communication Timeout: 10 (seconds)

If connectivity to the server is lost … all HTTP

Blocked URL Message Type: NetScreen

NetScreen Blocked URL Message: Lo sentimprohibida. Póngase en contacto con ntwkse

3. Rutas












defensa 134

haga clic en OK :

prohibida. Póngase en

gateway 1.1.1.250t1 gateway 10.1.1.250

-filter


4. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:Address Book Entry: (seleccione), Any

Destination Address:Address Book Entry: (seleccione), Any

Service: HTTPAction: Permit URL Filtering: (seleccione)

CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Servidor de filtrado de URLset url protocol type scfpset url server 10.1.2.5 15868 10set url fail-mode permitset url type NetScreenset url message “Lo sentimos, pero la URL solicitada está

contacto con [email protected].”set url config enable

3. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.1.2.0/24 interface etherne

4. Directivaset policy from trust to untrust any any http permit urlsave

5

y defensa 135

Capítulo 5

y ejecutar las acciones alías en el protocolo. En las n que aparecen en directivas y

ágina 187

98


Deep Inspection

Puede habilitar Deep Inspection (DI) en directivas para examinar el tráfico permitidocorrespondientes si el módulo de DI en ScreenOS detecta signos de ataque o anomsecciones siguientes de este capítulo se presentan los elementos de Deep Inspectiose explica cómo configurarlos:

• “Resumen de Deep Inspection” en la página 137

• “Servidor de la base de datos de objetos de ataque” en la página 141

• “Objetos de ataque y grupos” en la página 149

– “Protocolos compatibles” en la página 151

– “Firmas completas” en la página 156

– “Firmas de secuencias TCP” en la página 157

– “Anomalías en el protocolo” en la página 157

– “Grupos de objetos de ataque” en la página 158

– “Desactivación de objetos de ataque” en la página 163

• “Acciones de ataque” en la página 164

• “Registro de ataques” en la página 176

• “Asignación de servicios personalizados a aplicaciones” en la página 179

• “Objetos de ataque y grupos personalizados” en la página 187

– “Objetos de ataque de firma completa definidos por el usuario” en la p

– “Objetos de ataque de la firma de la secuencia TCP” en la página 195

– “Parámetros configurables de anomalías de protocolos” en la página 1

• “Negación” en la página 200

Capítulo 5 Deep Inspection

defensa 136

ponentes de HTTP. En la


Deep Inspection también se puede habilitar a nivel de zonas de seguridad para comsección final de este capítulo se explican estas opciones SCREEN:

• “Bloqueo granular de los componentes de HTTP” en la página 207

– “Controles ActiveX” en la página 207

– “Applets de Java” en la página 208

– “Archivos EXE” en la página 208

– “Archivos ZIP” en la página 208

Capítulo 5 Deep Inspection Resumen de Deep Inspection

defensa 137

gos de NetScreen. Deep as características del protocolo taque o comportamiento

s direcciones IP de origen y de s de puerto de origen y de

nes SCREEN establecidas a nivel de recciones IP” en la página 8, “Análisis en la página 52.

de que

l de una L4 de

paquete s

aquete


RESUMEN DE DEEP INSPECTIONDeep Inspection (DI) es un mecanismo para filtrar el tráfico permitido por el cortafueInspection examina los encabezados de los paquetes de las capas 3 y 4, así como ly el contenido a nivel de aplicación de la capa 7 para detectar e impedir cualquier aanómalo que pueda presentarse1.

Cuando el dispositivo NetScreen recibe el primer paquete de una sesión, examina ladestino en el encabezado del paquete IP (inspección de capa 3) y tanto los número

1. Los dispositivos NetScreen detectan los patrones de tráfico anómalo en las capas 3 y 4 (IP y TCP) a través de opciozonas, no a nivel de directivas. Algunos ejemplos de detección de anomalías en el tráfico IP y TCP son “Barrido de dide puertos” en la página 10, así como los diversos ataques de inundación descritos en “Ataques DoS contra la red”

No

Inspección de estado completa del cortafuegos

¿Permite o deniega

este paquete la directiva?

¿DI? ¿Detectado ataque?Sí

Firma completa, anomalía de protocolo y (en el NetScreen-5000) inspección de la secuencia TCP

Sí

Reenviar el paquete

Ejecutar acciónrespuesta al ata

Descartar paquete

No No

Sí

No¿Cumple?

Sí

Descartar paquete

¿Cumple un paquete iniciasesión los requisitos L3 y una directiva?

¿Cumple el estado de un en una sesión existente laexpectativas en la tabla desesiones?

o bien

¿Permite o deniega este pla directiva?


defensa 138

DP (inspección de capa 4). Si , el dispositivo NetScreen

ispositivo NetScreen recibe un do actualizada en la tabla de

y la acción de la directiva es uete como la secuencia de coincidan con los definidos en de ataque o anomalías en el n servidor de base de datos de rupos” en la página 149 y bjetos de ataque especificados

s de ataque completass en las normas RFC y en sus osiblemente con fines malévolos

tion (DI) en una directiva cuya acción te y después de desencriptar un

ra obtener más información, consulte

IG PTO DEST PROTO

datos

apas de red y aplicación):to ORIG, Puerto DEST y Carga de datos

Deep Inspection


destino como el protocolo en el segmento TCP o en el encabezado del datagrama Ulos componentes de capas 3 y 4 cumplen los criterios especificados en una directivaaplica al paquete la acción especificada: permitir, denegar o tunelizar2. Cuando el dpaquete destinado a una sesión establecida, lo compara con la información de estasesiones para determinar si realmente pertenece a la sesión.Si en la directiva aplicable a este paquete está habilitada la opción Deep Inspection“permit” o “tunnel”, el dispositivo NetScreen analiza más detenidamente tanto el paqdatos asociada (“stream”) en busca de ataques. Busca en el paquete patrones que uno o varios grupos de objetos de ataque. Los objetos de ataque pueden ser firmasprotocolo, que el usuario puede definir o descargar al dispositivo NetScreen desde uobjetos de ataque3. (Para obtener más información, consulte “Objetos de ataque y g“Objetos de ataque y grupos personalizados” en la página 187). Basándose en los oen la directiva, el dispositivo NetScreen puede realizar las inspecciones siguientes:

• Examinar los valores del encabezado y la carga de datos en busca de firma• Comparar el formato del protocolo transmitido con los estándares especificado

extensiones con respecto a ese protocolo para determinar si ha sido alterado, p

2. Si la acción especificada es tunelizar, ésta implica un permiso (tráfico permitido). Observe que si habilita Deep Inspecsea tunelizar, el dispositivo NetScreen ejecuta las operaciones DI especificadas antes de encriptar un paquete salienpaquete entrante.

3. Para poder descargar objetos de ataque del servidor de base de datos primero es necesario suscribirse al servicio. Pa“Registro y activación de los servicios de suscripción” en la página 2 -463.

IP ORIG IP DEST PTO OR

Carga de

IP ORIG IP DEST PTO ORIG PTO DEST PROTO

Carga de datos

Primero: Inspección del cortafuegos (capas de red):IP ORIG, IP DEST, Puerto ORIG, Puerto DEST

y servicio (Protocolo)

Después: Deep Inspection (cIP ORIG, IP DEST, Puer

servicio (Protocolo)

Cortafuegos


defensa 139

grupo de objetos de ataque al e-client”), cerrar servidor re”) o ninguna. Si no encuentra aque, consulte “Acciones de

n central y el componente DI:

s de origen y de destino, uno o

tido por la sección central de la e contenidos en al menos un ataque, realiza a continuación

edente de cualquier dirección ena al dispositivo NetScreen coincide con un objeto de o NetScreen cierra la conexión ción de origen y destino.

ias a túneles VPN y L2TP, referencia suarios y ajustes de comprobación tos que constituyen el núcleo de una

gatorios. (Una excepción a esta regla t_addr service action . Para obtener

nte de Deep Inspection

erios

Acción si el dispositivo NetScreen detecta un ataque

rupo de ataque


Si el dispositivo NetScreen detecta un ataque, realiza la acción especificada para elque pertenece el objeto de ataque que coincida: cerrar (“close”), cerrar cliente (“clos(“close-server”), descartar (“drop”), descartar paquete (“drop-packet”), ignorar (“ignoun ataque, reenvía el paquete. (Para obtener más información sobre acciones de atataque” en la página 164).

El comando set policy se puede separar conceptualmente en dos partes: la secció

• La sección central contiene las zonas de origen y de destino, las direccionemás servicios y una acción4.

• El componente DI ordena al dispositivo NetScreen examinar el tráfico permidirectiva para saber si hay patrones que coincidan con los objetos de ataqugrupo de objetos de ataque. Si el dispositivo NetScreen detecta un objeto dela acción definida para el grupo correspondiente.

El siguiente comando set policy contiene un componente de DI:

El comando antedicho ordena al dispositivo NetScreen permitir el tráfico HTTP procde la zona Untrust a la dirección de destino “websrv1” de la zona DMZ. También ordexaminar todo el tráfico HTTP permitido por esta directiva. Si algún patrón de tráficoataque definido en el grupo de objetos de ataque “HIGH:HTTP:ANOM”, el dispositivdescartando el paquete y enviando notificaciones TCP RST a los hosts en las direc

4. Opcionalmente, también puede agregar otras extensiones al componente central de un comando set policy : referenca una tarea programada, especificaciones de la traducción de direcciones, especificaciones de la autenticación de uantivirus, registros, recuentos y administración del tráfico. Mientras que estas extensiones son opcionales, los elemendirectiva (zonas de origen y de destino, direcciones de origen y de destino, servicio -o servicios- y la acción) son oblison las directivas globales, en las que no se especifican zonas de origen ni de destino: set policy global src_addr dsmás información sobre directivas globales, consulte “Directivas globales” en la página 2 -312).

Compone

Zona de destino



Servicio

Acción si el tráfico cumple los critde los componentes L3 y L4

Zona de origen

G

Sección central de una directiva


defensa 140

identificación. Por ejemplo:

os relacionados con una sola rmite el tráfico HTTP y HTTPS ataques HTTP de firma

p permit attack

e-server

rver

posibles ataques en el tráfico irectiva, primero debe o antedicho, puede agregar los TP:SIGS porque anteriormente

ndo siguiente se ejecutará en

de ataque en una directiva. Si n más severa, que en el taque, incluidos sus niveles de


Es posible introducir el contexto de una directiva existente utilizando su número de

ns-> set policy id 1ns(policy:1)->

Introducir el contexto de una directiva resulta práctico para introducir varios comanddirectiva. Por ejemplo, el siguiente conjunto de comandos crea una directiva que pedesde cualquier dirección de Untrust a websrv1 y websrv2 en la zona DMZ y buscacompleta y de anomalías de protocolo de gravedad alta y crítica:

ns-> set policy id 1 from untrust to dmz any websrv1 httCRITICAL:HTTP:ANOM action close

ns-> set policy id 1ns(policy:1)-> set dst-address websrv2ns(policy:1)-> set service httpsns(policy:1)-> set attack CRITICAL:HTTP:SIGS action closns(policy:1)-> set attack HIGH:HTTP:ANOM action dropns(policy:1)-> set attack HIGH:HTTP:SIGS action close-sens(policy:1)-> exitns-> save

La configuración antedicha permite el tráfico HTTP y HTTPS, pero solamente buscaHTTP. Para poder agregar grupos de objetos de ataque dentro de un contexto de despecificar un ataque y una acción DI en el comando de nivel superior. En el ejemplgrupos de objetos de ataque CRITICAL:HTTP:SIGS, HIGH:HTTP:ANOM y HIGH:HTconfiguró la directiva para Deep Inspection con el grupo CRITICAL:HTTP:ANOM.

Nota: El símbolo de la línea de comandos cambia para indicar que el comaun contexto de directiva determinado.

Nota: Puede especificar una acción de ataque diferente para cada grupo de objetosel dispositivo NetScreen detecta simultáneamente múltiples ataques, aplica la accióejemplo de arriba es “close”. Para obtener información sobre las siete acciones de agravedad, consulte “Acciones de ataque” en la página 164.

Capítulo 5 Deep Inspection Servidor de la base de datos de objetos de ataque

defensa 141

inidos, organizados en grupos la base de datos de objetos de dates. Para utilizar los objetos

en su dispositivo NetScreen y os en directivas5. Para obtener se al servicio de firmas DI para Registro y activación de los

os de ataque en el dispositivo de base de datos de objetos de tes del servidor de la base de ualización inmediata” en la

base de datos de objetos de os del servidor sea una versión iper Networks actualiza la base iertos. Por lo tanto, debido a su

btener más información, consulte la

integridad de la base de datos s DI” en la página 2 -447.

uede utilizar el comando exec en el servidor es más reciente


SERVIDOR DE LA BASE DE DATOS DE OBJETOS DE ATAQUELa base de datos de objetos de ataque contiene todos los objetos de ataque predefde objetos de ataque por protocolo y nivel de gravedad. Juniper Networks almacenaataque en un servidor en la dirección https://services.netscreen.com/restricted/sigupde ataque predefinidos, debe descargar la base de datos de este servidor, cargarloluego establecer referencias a determinados grupos de objetos de ataque específicacceso al servidor de la base de datos de objetos de ataque, primero debe suscribirsu dispositivo NetScreen. (Para obtener información sobre cómo hacerlo, consulte “servicios de suscripción” en la página 2 -463).

Existen cuatro maneras de actualizar la base de datos:

• Immediate Update: Con esta opción se actualiza la base de datos de objetNetScreen inmediatamente con la base de datos almacenada en el servidor ataque. Para que esta operación funcione, primero debe configurar los ajusdatos de objetos de ataque. (Para ver un ejemplo, consulte el “Ejemplo: Actpágina 142).

• Automatic Update: Con esta opción, el dispositivo NetScreen descarga la ataque a las horas programadas por el usuario, siempre que la base de datmás reciente que la cargada anteriormente en el dispositivo NetScreen. Junde datos periódicamente con los nuevos patrones de ataque recién descub

5. Puede también utilizar NetScreen-Security Manager para descargar las bases de datos de objetos de ataque. Para oNetScreen-Security Manager Administration Guide.

Nota: Puede cargar un certificado de autenticación (imagekey.cer) para verificar la de objetos de ataque cuando la descargue. Consulte “Autenticar firmware y archivo

Nota: Antes de realizar una actualización inmediata de la base de datos, pattack-db check para comprobar si la base de datos de objetos de ataqueque la que se encuentra en el dispositivo NetScreen.


defensa 142

ispositivo NetScreen los ajustes del servidor de la plo: Actualizaciones

sitivo NetScreen comprueba a se de datos de objetos de l servidor son más recientes, sesión en el dispositivo date o hacer clic en el botón ebUI para guardar la base de miautomático de comprobación base de datos de objetos de y actualización inmediata” en la

ara descargar la base de datos A continuación puede cargar la orio local) o mediante CLI jemplo: Actualización manual”

l archivo attacks.bin) del RL para el servidor de la base

dispositivo NetScreen. En lugar amente.

vicio de firmas de DI para el gistro y activación de los


naturaleza cambiante, también conviene actualizar la base de datos en el dperiódicamente. Para que esta operación funcione, primero debe configurarbase de datos de objetos de ataque. (Para ver un ejemplo, consulte el “Ejemautomáticas” en la página 144).

• Automatic Notification and Immediate Update: Con esta opción, el dispolas horas programadas por el usuario si los datos sobre el servidor de la baataque son más recientes que los del dispositivo NetScreen. Si los datos deaparece un aviso en la página inicial de WebUI y en CLI después de iniciar NetScreen. A continuación, puede ejecutar el comando exec attack-db up Update Now de la página Configuration > Update > Attack Signature de Wdatos del servidor en el dispositivo NetScreen. Para que el procedimiento sedel servidor funcione, primero debe configurar los ajustes del servidor de laataque. (Para ver un ejemplo, consulte el “Ejemplo: Notificación automática página 145).

• Manual Update: Con esta opción, primero utilizará un explorador de web pde objetos de ataque a un directorio local o al directorio del servidor TFTP. base de datos en el dispositivo NetScreen mediante WebUI (desde el direct(desde el directorio del servidor TFTP). (Para ver un ejemplo, consulte el “Een la página 147).

Ejemplo: Actualización inmediataEn este ejemplo guardará inmediatamente la base de datos de objetos de ataque (eservidor correspondiente al dispositivo NetScreen. Utilizará la URL predeterminada:https://services.netscreen.com/restricted/sigupdates. No tiene que establecer esta Ude datos. El dispositivo NetScreen la utiliza de forma predeterminada.

No necesita establecer una tarea programada para actualizar la base de datos en el de ello, guardará la base de datos del servidor en el dispositivo NetScreen inmediat

Nota: Este ejemplo asume que ya dispone de una suscripción activada para el serdispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Reservicios de suscripción” en la página 2 -463).


defensa 143

ow .

de la base de datos bjetos de ataque

https://services.netscreen .com/restricted/sigupdates


WebUI

Configuration > Update > Attack Signature: Haga clic en el botón Update N

CLI

ns-> exec attack-db updateLoading attack database.............Done.Done.Switching attack database...DoneSaving attack database to flash...Done.ns->

Servidorde oDispositivo NetScreen local

Internet

Base de datos de objetos de

ataqueBase de datos de objetos de

ataque

1. Petición de actualización

2. Actualización de la base de datos


defensa 144

en el dispositivo NetScreen la versión de la base de datos iente, el dispositivo NetScreen

s. No tiene que establecer esta a predeterminada.

y haga clic en OK :


te en algunos meses), el dispositivo

de datos taque

= https://services.netscreen /restricted/sigupdates

L M X J V S D


Ejemplo: Actualizaciones automáticasEn este ejemplo establecerá una tarea programada para actualizar la base de datoscada lunes a las 4:00. A esa hora programada, el dispositivo NetScreen comparará en el servidor con la del dispositivo NetScreen. Si la versión del servidor es más recreemplazará automáticamente su base de datos con la versión más reciente.

Utilizará la URL predeterminada: https://services.netscreen.com/restricted/sigupdateURL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de form

WebUIConfiguration > Update > Attack Signature: Introduzca los siguientes datos

Database Server: (dejar en blanco)Update Mode: Automatic UpdateSchedule:

Weekly on: Monday6

Time (hh:mm): 04:00


6. Si programa actualizaciones mensualmente y la fecha elegida no existe en algún mes (por ejemplo, el día 31 no exisNetScreen utiliza en su lugar la última fecha posible de ese mismo mes.

Servidor de la basede objetos de aDispositivo NetScreen local

Internet

Base de datos de objetos de ataqueBase de datos de

objetos de ataque

1. Petición de actualización automática

2. Actualización automática de la base de datos

URL.com


defensa 145

as 07:00 la base de datos en el

a clic en el botón Update Now ndo exec attack-db update

s. No tiene que establecer esta a predeterminada.


ase de e ataque

https://services.netscreen restricted/sigupdates

M X J V S D


CLI

set attack db mode updateset attack db schedule weekly monday 04:00save

Ejemplo: Notificación automática y actualización inmediataEn este ejemplo establecerá una tarea programada para comprobar diariamente a ldispositivo NetScreen.

Cuando reciba un aviso de que la base de datos del servidor se ha actualizado, hagde la página Configuration > Update > Attack Signature de WebUI o ejecute el comapara guardar la base de datos del servidor en el dispositivo NetScreen.

Utilizará la URL predeterminada: https://services.netscreen.com/restricted/sigupdateURL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de form


Servidor de la bdatos de objetos dDispositivo NetScreen local

Internet

Base de datos de objetos de ataque


1. Comprobación automática diaria de la actualización

URL =.com/

L

2. Actualización inmediata de la base de datos


defensa 146

y haga clic en OK :

tá más actualizada que la del

ow .

tá más actualizada que la del


WebUI

1. Comprobación programada de la base de datosConfiguration > Update > Attack Signature: Introduzca los siguientes datos

Database Server: (dejar en blanco)

Update Mode: Automatic Notification

Schedule:

Daily

Time (hh:mm): 07:00

2. Actualización inmediata de la base de datosCuando reciba un aviso de que la base de datos de ataques del servidor esdispositivo NetScreen, haga lo siguiente:

Configuration > Update > Attack Signature: Haga clic en el botón Update N

CLI

1. Comprobación programada de la base de datosset attack db mode notificationset attack db schedule daily 07:00

2. Actualización inmediata de la base de datosCuando reciba un aviso de que la base de datos de ataques del servidor esdispositivo NetScreen, haga lo siguiente:

exec attack-db update


fensa 147

iente en el directorio local :\Archivos de s en el dispositivo

los siguientes elementos a

uenta. En este ejemplo, el es NetScreen-208 (ns200).

0043012001000213

para que otros dispositivos el servidor de la base de datos a Attack Signature o utilizar el

de firmas de DI para el tro y activación de los

e de datos taque

tps://services.netscreen.com/ d/sigupdates/5.1/ns200/attacks 0043012001000213


Ejemplo: Actualización manualEn este ejemplo guardará manualmente la base de datos de objetos de ataque más rec“C:\netscreen\attacks-db” (si desea utilizar WebUI para cargar la base de datos) o en CPrograma\TFTP Server (si prefiere utilizar CLI). A continuación cargará la base de datoNetScreen de su directorio local7.Para una actualización automática, el dispositivo NetScreen agregará automáticamentela URL:

• Número de serie del dispositivo NetScreen• Número de la versión principal de ScreenOS instalada en el dispositivo• Tipo de plataforma

Para actualizar manualmente la base de datos, debe agregar estos elementos por su cnúmero de serie es 0043012001000213, la versión de ScreenOS es 5.1 y la plataformaPor lo tanto, la URL resultante es:

https://services.netscreen.com//restricted/sigupdates/5.1/ns200/attacks.bin?sn=

7. Después de descargar la base de datos de objetos de ataque, también puede colocarla en un servidor local y configurarlaNetScreen puedan acceder a ella. A continuación, los administradores de los demás dispositivos deben cambiar la URL dla nueva ubicación. Pueden introducir la nueva URL en el campo Database Server de la página Configuration > Update >comando CLI siguiente: set attack db server url_string .

Nota: Este ejemplo asume que ya dispone de una suscripción activada para el serviciodispositivo NetScreen. (Para obtener información sobre suscripciones, consulte “Regisservicios de suscripción” en la página 2 -463).

Servidor de la basde objetos de aDispositivo NetScreen local

Internet

Base de datos de objetos de

ataque


2. Actualización manual de la

base de datos

URL = ht/restricte.bin?sn=

1. Descarga manual de la base de datos

Admin: 10.1.1.5C:\netscreen\attacks-db

C:\Archivos de programa\TFTP Server


defensa 148

eb:

s.bin?sn=0043012001000213

” (para cargar a través de or TFTP (cuando desee utilizar

y haga clic en OK :

s-db\attacks.bin , o haga clic leccione attacks.bin y


1. Descarga de la base de datosIntroduzca la URL siguiente en el campo de dirección de su explorador de w

https://services.netscreen.com//restricted/sigupdates/5,1/ns200/attack

Guarde el archivo attacks.bin en el directorio local “C:\netscreen\attacks-dbWebUI) o en el directorio “C:\Archivos de programa\TFTP Server” del servidCLI para cargarlo).

WebUI

2. Actualización de la base de datosConfiguration > Update > Attack Signature: Introduzca los siguientes datos

Deep Inspection Signature Update:

Load File: Introduzca C:\netscreen\attacken Browse y navegue a ese directorio, sefinalmente haga clic en Open .

CLI

2. Actualización de la base de datossave attack-db from tftp 10.1.1.5 attacks.bin to flash

Capítulo 5 Deep Inspection Objetos de ataque y grupos

defensa 149

reen-5000) y anomalías de comprometen a uno o varios

otocolo y luego por gravedad. ina el tráfico que ésta permite

al que se hace referencia.

websrv11.2.2.5:80

hp?*p

ata\].*


OBJETOS DE ATAQUE Y GRUPOSLos objetos de ataque son firmas completas, firmas de secuencias (en la serie NetScprotocolos que un dispositivo NetScreen utiliza para detectar los ataques dirigidos quehosts de una red. Los objetos de ataque están agrupados, organizados por tipo de prCuando se agrega Deep Inspection (DI) a una directiva, el dispositivo NetScreen exampara cualquier patrón que coincida con los del grupo (o grupos) de objetos de ataque

��

Host remoto1.1.1.3:25611

IP ORIG IP DEST PTO ORIG PTO DEST PROTO

1.1.1.3 1.2.2.5 25611 80 HTTP

Zona Untrust

set policy from untrust to dmz any websrv1 http permit attack HIGH:HTTP:SIGS action close

RSTRST

SYN

ACKSYN/ACK

Carga: … revlog/.

El dispositivo NetScreen detecta un objeto de ataque en el paquete. Descarta el paquete y cierra la conexión enviando notificaciones TCP RST al origen y al destino.

Grupo de ataques: HIGH:HTTP:SIGS

revlog/.*/phorum/plugin/replace/pluring.p

/scripts/\.\.%c1%9c\.\./.*

/\[scripts/iisadmin/ism\.dll\?http/dir\].*

.*\[.asp::$d

Host remoto1.1.1.3:25611

NetScreenUntrust: ethernet3 1.1.1.1/24; DMZ: ethernet2 1.2.2.1/24

Zona DMZ

.*%255(c|C).*

PUT \[/users/.*\.asp\].*

¡Coincide!


defensa 150

deben apuntar al mismo tipo de l grupo de objetos de ataque muestra una configuración

objetos de ataque se refiere al

itivo NetScreen consumiese de ataque POP3 que nunca figurar el componente DI para

attack CRIT:SMTP:SIGS

attack CRIT:POP3:SIGS

t attack


Los grupos de objetos de ataque a los que se haga referencia en el componente DI servicio que la directiva permita. Por ejemplo, si la directiva permite tráfico SMTP, edebe tener como objetivo los ataques contra el tráfico SMTP. La directiva siguiente válida:

La siguiente directiva es incorrecta porque permite el tráfico SMTP, pero el grupo detráfico POP3:

La segunda directiva está mal configurada y, si se implementase, haría que el disposrecursos innecesariamente, ya que examinaría el tráfico SMTP en busca de objetos encontraría. Si la directiva 2 permite tanto el tráfico SMTP como el POP3, puede conque busque objetos de ataque SMTP, objetos de ataque POP3 o ambos.

set policy id 2 from trust to untrust any any smtp permitaction close

set policy id 2 from trust to untrust any any smtp permitaction close

set group service grp1set group service grp1 add smtpset group service grp1 add pop3set policy id 2 from trust to untrust any any grp1 permi

CRIT:SMTP:SIGS action closeset policy id 2 attack CRIT:POP3:SIGS action close


defensa 151

ataque de anomalía de

finición

ominio (DNS) es un sistema de nombres de dominio a las uniper.net = 207.17.137.68.

de archivos (FTP) es un archivos entre equipos a través

ia de hipertexto (HTTP) es un do para transferir información los clientes web.

rreo de Internet (IMAP) es un ervicios de almacenamiento y

ctrónico entrante, con la opción de n su correo electrónico o lo dejen

e entrada-salida de red) es una que las aplicaciones de las

s usuarios pueden acceder a los ados por los transportes de red TCP/IP.

eo, versión 3 (POP3) es un ervicios de almacenamiento y

ctrónico entrante.


Protocolos compatiblesEl módulo Deep Inspection admite objetos de ataque de firma completa y objetos deprotocolo para los protocolos y aplicaciones siguientes:

Protocolos de red básicos

Protocolo Firmacompleta

Anomalía deprotocolo De

DNS Sí Sí El sistema de nombres de dbase de datos para traducirdirecciones IP como www.j

FTP Sí Sí El protocolo de tranferenciaprotocolo para intercambiarde una red.

HTTP Sí Sí El protocolo de transferencprotocolo utilizado sobre todesde los servidores web a

IMAP Sí Sí El protocolo de acceso a coprotocolo que proporciona srecuperación del correo eleque los usuarios descargueen el servidor IMAP.

NetBIOS Sí Sí NetBIOS (Sistema básico dinterfaz de aplicación con laestaciones de trabajo de loservicios de red proporcioncomo NetBEUI, SPX/IPX y

POP3 Sí Sí Protocolo de oficina de corrprotocolo que proporciona srecuperación del correo ele


defensa 152

ferencia de correo (SMTP) es un cia de correo electrónico entre

finición

ssaging (AIM) es la aplicación de erica Online.

ger (MSN Messenger) es el diata proporcionado por

rvicio de mensajería inmediata

finición


Aplicaciones de mensajería inmediata

SMTP Sí Sí El protocolo simple de transprotocolo para la transferenservidores de correo.



AIM Sí Sí America Online Instant Memensajería inmediata de Am

MSN Messenger

Sí Sí Microsoft Network Messenservicio de mensajería inmeMicrosoft.

Yahoo! Messenger

Sí Sí Yahoo! Messenger es el seproporcionado por Yahoo!.




defensa 153

finición

ta de distribución de archivos cionar una forma eficiente de ivo a un grupo grande haciendo en un archivo también se lo

aplicación para compartir utiliza concentradores para ios, a menudo con el requisito de antidad de bytes o archivos. ecen zonas especiales de interés, ades para los usuarios

descentralizada de compartición el protocolo de tranferencia de (MFTP). La red de eDonkey ciones: clientes y servidores. Los d y comparten archivos. Los ntradores que reúnen a los

y un protocolo de compartición de rvidor centralizado. Otras de las otocolo de Gnutella son heus y ToadNode.

ra compartir archivos P2P protocolo de FastTrack. KaZaa se ompartir archivos MP3.


Aplicaciones de red punto a punto (P2P)8

Protocolo StatefulSignature

ProtocoloAnomalía De

BitTorrent Sí No BitTorrent es una herramienP2P, diseñada para propordistribución del mismo archque todos los que descargucarguen a los demás.

DC(Direct Connect)

Sí No DC (Direct Connect) es unaarchivos P2P. Una red DC conectar a grupos de usuarque compartan una cierta cMuchos concentradores ofrcreando pequeñas comunidconectados.

eDonkey Sí No eDonkey es una aplicaciónde archivos P2P que utilizaarchivos de origen múltiple admite dos clases de aplicaclientes se conectan a la reservidores hacen de conceclientes.

Gnutella Sí Sí Gnutella es una aplicación archivos P2P sin ningún seaplicaciones que usan el prBearShare, Limewire, Morp

KaZaa Sí No Kazaa es una aplicación padescentralizada que usa el utiliza principalmente para c


defensa 154

n cliente P2P que puede aformas y acceder a múltiples t, DC, eDonkey, FastTrack Gnutella2.

de telefonía por Internet P2P con hablar entre ellos a través de una

de servidor) es un protocolo para chivos e impresoras entre los ima del protocolo de NetBIOS.

ara compartir archivos P2P con la tarse a varios servidores

finición

imientos remotos de Microsoft) es r procesos en un equipo remoto.

finición


Puertas de enlace en la capa de aplicación (ALGs):

8. Muchas de las aplicaciones P2P mostradas utilizan sus propios protocolos patentados.

MLdonkey Sí No MLdonkey es una aplicacióejecutarse en múltiples platredes P2P, como BitTorren(KaZaa y otros), Gnutella y

Skype Sí No Skype es un servicio gratis el que los usuarios pueden red TCP/IP como Internet.

SMB Sí Sí SMB (Bloque de mensajes compartir recursos como arequipos. SMB funciona enc

WinMX Sí No WinMX es una aplicación pque un cliente puede conecsimultáneamente.



MSRPC Sí Sí MSRPC (Llamada a procedun mecanismo para ejecuta

Protocolo StatefulSignature

ProtocoloAnomalía De


defensa 155

es/english, puede consultar el s de los objetos de ataque mpo de dirección:

na lista de todos los objetos de consultar la descripción de un


Si el dispositivo NetScreen dispone de acceso a http://help.netscreen.com/sigupdatcontenido de todos los grupos de objetos de ataque predefinidos y ver descripcionepredefinidos. Abra su explorador web y escriba una de las siguientes URLs en el ca

http://help.juniper.net/sigupdates/english/AIM.html

http://help.juniper.net/sigupdates/english/DNS.html

http://help.juniper.net/sigupdates/english/FTP.html

http://help.juniper.net/sigupdates/english/GNUTELLA.html

http://help.juniper.net/sigupdates/english/HTTP.html

http://help.juniper.net/sigupdates/english/IMAP.html

http://help.juniper.net/sigupdates/english/MSN.html

http://help.juniper.net/sigupdates/english/NBDS.html

http://help.juniper.net/sigupdates/english/NBNAME.html

http://help.juniper.net/sigupdates/english/POP3.html

http://help.juniper.net/sigupdates/english/SMTP.html

http://help.juniper.net/sigupdates/english/MSRPC.html

http://help.juniper.net/sigupdates/english/SMB.html

http://help.juniper.net/sigupdates/english/YMSG.html

Cada una de las URLs antedichas está vinculada a una página HTML que contiene uataque predefinidos (agrupados por gravedad) para un protocolo determinado. Paraobjeto de ataque, haga clic en su nombre.


defensa 156

tación de una determinada do una dirección envía muchos rtos” en la página 10) o un datos de un único paquete valor determinado en el n dispositivo NetScreen busca

en una porción muy concreta enviados en un determinado or el dispositivo que responde.rticipantes (cliente o servidor) y tados por la explotación de la ión contextual para refinar el s”) y evita el procesamiento n los contextos de los papeles

ma, observe cómo el módulo “EXPN Root”. Los atacantes n servidor de correo. Para en la porción de control de una ol” o SMTP). El dispositivo oducirse ahí. Si “expn root”

a “expn root” dispara una cir, en el cuerpo de un mensaje sobre ataques EXPN Root, un

rmas completas, el módulo e son ocurrencias inofensivas.

es. De este modo, una sola definición re expresiones regulares, consulte

pleta predefinidos, consulte


Firmas completasUna firma de ataque es un patrón que aparece cuando se está produciendo la explovulnerabilidad9. La firma puede ser un o patrón de tráfico de capa 3 o 4, como cuanpaquetes a diversos números de puerto de otra dirección (consulte “Análisis de puepatrón textual, como cuando aparece una cadena de URL maliciosa en la carga de HTTP o FTP. La cadena también puede ser un segmento de código específico o unencabezado del paquete. Sin embargo, cuando el módulo Deep Inspection (DI) de uun patrón textual, busca algo más que sólo una firma en un paquete; busca la firmadel mismo (incluso aunque esté fragmentado o segmentado), en todos los paquetesmomento durante la vida de la sesión, y enviados por el iniciador de la conexión o pCuando el módulo DI busca un patrón textual, tiene en cuenta los papeles de los pasupervisa el estado de la sesión para limitar su búsqueda sólo a los elementos afecvulnerabilidad para la que los atacantes utilizan el patrón. La utilización de informacanálisis de paquetes reduce significativamente las falsas alarmas (o “falsos positivoinnecesario. El término “firmas completas” destaca este concepto de buscar firmas ede los participantes y en el estado de la sesión.Para averiguar qué ventaja tiene considerar el contexto en el que se produce una firNetScreen DI examina los paquetes cuando está habilitado para detectar el ataqueutilizan el ataque “EXPN Root” para ampliar y exponer las listas de distribución de udetectar el ataque “EXPN Root”, el dispositivo NetScreen busca la firma “expn root” sesión del protocolo simple de transferencia de correo (“Simple Mail Transfer ProtocNetScreen examina solamente la porción de control porque el ataque sólo puede procurre en cualquier otra porción de la sesión, no es un ataque.Aplicando una técnica textual simple de detección de firmas en los paquetes, la firmalarma incluso aunque aparezca en la porción de datos de la conexión SMTP; es dede correo electrónico. Si, por ejemplo, estuviese escribiendo a un colega un mensajedetector simple de firmas en paquetes lo consideraría como un ataque. Utilizando fiNetScreen DI puede distinguir entre cadenas de texto que señalan ataques y las qu

9. Dado que el módulo NetScreen DI admite expresiones regulares, puede utilizar comodines en la búsqueda de patronde firma de ataque puede aplicarse a múltiples variaciones del patrón de ataque. Para obtener más información sob“Expresiones regulares” en la página 188.

Nota: Para ver una lista de los protocolos que tienen objetos de ataque de firma com“Protocolos compatibles” en la página 151.


defensa 157

ue aparece cuando se está I examina el tráfico en busca de xamina el tráfico en busca de entre ambos tipos de firmas es , las firmas de secuencias TCP firma de secuencia a un grupo ue Deep Inspection. (Para

que de la firma de la secuencia

incumple los estándares taque de firma, se debe utilizar es conocidos. La detección de aquéllos que no se pueden

NetScreen-5000.

de protocolo predefinidos,


Firmas de secuencias TCPComo ocurre con las firmas completas, una firma de secuencia TCP es un patrón qproduciendo la explotación de una vulnerabilidad. Sin embargo, cuando el módulo Dfirmas completas, busca solamente en contextos concretos. Cuando el módulo DI efirmas de secuencias TCP, lo hace sin preocuparse de los contextos. Otra diferenciaque, aunque las firmas completas pueden ser predefinidas o definidas por el usuariosólo pueden ser definidas por el usuario. Después de agregar un objeto de ataque dede objetos de ataque, puede hacer referencia a ese grupo en una directiva que apliqobtener más información sobre firmas de secuencias TCP, consulte “Objetos de ataTCP” en la página 195).

Anomalías en el protocoloLos objetos de ataque que buscan anomalías de protocolos detectan el tráfico que definidos en las normas RFC y extensiones comunes de RFC. Con los objetos de aun patrón predefinido o crear uno nuevo; por lo tanto, sólo se pueden detectar ataquanomalías en los protocolos es particularmente útil para detectar nuevos ataques o definir con un patrón textual.

Nota: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie

Nota: Para ver una lista de los protocolos que tienen objetos de ataque de anomalíaconsulte “Protocolos compatibles” en la página 151.


defensa 158

un protocolo específico. Por s, y luego se organizan de de ataque son crítico, alto y

idad que intentan evadir la l sistema.

abilidades que intentan ed o activar un caballo troyano

ulnerabilidades que detectan e directorios (“directory

abilidad que intentan obtener

contiene URLs, errores de o (P2P). Puede utilizar objetos


Grupos de objetos de ataqueLos grupos de objetos de ataque predefinidos contienen los objetos de ataque paracada protocolo, los grupos se dividen en anomalías de protocolos y firmas completaforma aproximada por gravedad. Los tres niveles de gravedad del grupo de objetosmedio:

Crítical: Contiene objetos de ataque que coincidan con explotaciones de vulnerabildetección, provocan la caída de dispositivos de red u obtienen privilegios a nivel de

High (Alto): Contiene objetos de ataque que coinciden con explotaciones de vulnerinterrumpir algún servicio, obtener acceso a nivel de usuario a un dispositivo de la rcargado previamente en un dispositivo.

Medium (Medio): Contiene objetos de ataque que coinciden con explotaciones de vintentos de reconocimiento para acceder a información vital mediante navegación dtraversal”) o filtraciones de información.

Low (Bajo): Contiene objetos de ataque que coinciden con explotaciones de vulnerinformación no crítica o exploran una red con una herramienta de exploración.

Info: Contiene objetos de ataque que coinciden con el tráfico normal inofensivo queconsulta de DNS, cadenas de comunidad pública SNMP y parámetros punto a puntde ataque informativos para obtener información sobre su red.


defensa 159

gravedad (crítico, alto, medio), edium, low, info. Estos niveles les de gravedad para las

"Medium", la entrada d "Warning" (advertencia).

r en uno o más grupos de , entrando en el contexto de

de objetos de ataque a los que

d de los grupos de objetos de


Cambio de los niveles de gravedadAunque los grupos de objetos de ataque están clasificados por protocolo y nivel de cada objeto de ataque tiene su propio nivel de gravedad específico: critical, high, mde gravedad de objetos de ataque se corresponden del siguiente modo con los niveentradas del registro de eventos:

Por ejemplo, si el dispositivo NetScreen detecta un ataque con el nivel de gravedadcorrespondiente que aparecerá en el registro de eventos tendrá el nivel de graveda

El nivel de gravedad predeterminado de todos los objetos de ataque se puede anulaobjetos de ataque referenciados en una directiva. Esto se realiza a nivel de directivauna directiva existente y asignando un nuevo nivel de gravedad a todos los grupos haga referencia la directiva.

A continuación se muestra cómo cambiar mediante WebUI y CLI el nivel de gravedaataque a los que se hace referencia en una directiva:

Nivel de gravedad de

objeto de ataquese

corresponde con -

Nivel de gravedad de

entrada de registro de eventos

Critical Critical

High Error

Medium Warning

Low Notification

Info Information


defensa 160

ento y haga clic en OK :

gravedad en la lista

m | high | critical }

elva a introducir el contexto de

ento y haga clic en OK :

lista desplegable Severity y


WebUI

Policies > Edit (para una directiva existente): Ejecute el siguiente procedimi

> Deep Inspection: Seleccione una opción dedesplegable Severity y haga clic en OK .

CLI

ns-> set policy id numberns(policy: number )-> set di-severity { info | low | mediu

Para restablecer el ajuste original de nivel de gravedad de cada objeto de ataque, vuuna directiva y haga algo de lo siguiente:

WebUI

Policies > Edit (para una directiva existente): Ejecute el siguiente procedimi

> Deep Inspection: Seleccione Default en la haga clic en OK .

CLI

ns-> set policy id numberns(policy: number )-> unset di-severity


defensa 161

o a punto (P2P) con cualquier aplica Deep Inspection (DI) al egún lo definido en los grupos

pe la conexión y envía un taque descubierto, que es el

aga clic en OK :

A y HTTP y haga clic en OK ásica de directivas.

P con un host en la zona fiable.

tivo NetScreen puede realizar, ataques detectados de


Ejemplo: Deep Inspection para P2PEn este ejemplo, permitirá que cualquier host de la zona fiable inicie una sesión punthost en la zona no fiable usando HTTP, DNS y servicios de Gnutella10. A continuacióntráfico permitido para comprobar las firmas completas y las anomalías de protocolo ssiguientes de objetos de ataque:

• INFO:DNS:SIGS

• INFO:GNUTELLA:ANOM

• INFO:HTTP:SIGS

Si el dispositivo NetScreen detecta una firma o un comportamiento anómalo, interrumTCP RST al cliente para cerrar a la sesión. También habilita el registro de cualquier acomportamiento predeterminado.

WebUI

Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y h

Source Address:




Service: DNS

> Haga clic en Multiple , seleccione GNUTELLpara regresar a la página de configuración b

Action: Permit

10. Por razones de seguridad, no defina una directiva que permita a ningún host de la zona no fiable iniciar una sesión P2

Nota: Para obtener información sobre las diversas acciones de ataque que el disposiconsulte “Acciones de ataque” en la página 164. Para obtener información sobre los registro, consulte “Registro de ataques” en la página 176.


defensa 162

lo siguiente y haga clic en Add aque y, a continuación, haga figuración básica de directivas:

attack

e-clientient

mediante comandos de la interfaz CLI.


> Haga clic en Deep Inspection , introduzca para introducir cada grupo de objetos de atclic en OK para regresar a la página de con

Severity: Default

Group: INFO:DNS :SIGS

Action: Close Client

Log: (seleccione)

Severity: Default

Group: INFO:GNUTELLA :ANOM


Log: (seleccione)

Severity: Default

Group: INFO:HTTP :SIGS


Log: (seleccione)

CLI

set policy id 1 from trust to untrust any any dns permitINFO:DNS:SIGS action close-client11

set policy id 1ns(policy:1)-> set service gnutellans(policy:1)-> set service httpns(policy:1)-> set attack INFO:GNUTELLA:ANOM action closns(policy:1)-> set attack INFO:HTTP:SIGS action close-clns(policy:1)-> exitsave

11. Puesto que el registro de ataques detectados se habilita de forma predeterminada, no tiene que especificar el registro


defensa 163

itivo NetScreen comprobará el ra de los objetos de ataque de taque particular si produce o como ataque. Si el problema rupo de objetos de ataque

grupo predefinido de objetos de

del sistema raíz o del sistema predefinido en el sistema raíz n objeto de ataque en un vsys

umna Configure en el objeto de

siguientes acciones:

a Configure en el objeto de


Desactivación de objetos de ataqueCuando haga referencia a un grupo de objetos de ataque en una directiva, el dispostráfico al que resulta aplicable la directiva para patrones que coincidan con cualquieese grupo. En un determinado momento, quizás no le interese utilizar un objeto de acontinuamente falsos positivos; es decir, si interpreta erróneamente el tráfico legítimproviene de un objeto de ataque personalizado, puede simplemente quitarlo de su gpersonalizado. Sin embargo, no puede quitar un objeto de ataque predefinido de un ataque. En ese caso, la mejor línea de acción es desactivar el objeto.

Observe que un objeto de ataque predefinido estará desactivado solamente dentro virtual (vsys) en el que lo desactive. Por ejemplo, desactivando un objeto de ataqueno se desactiva automáticamente en ningún sistema virtual. Asimismo, desactivar uno afecta a ese objeto en ningún otro vsys.

Para desactivar un objeto de ataque, dispone de las siguientes opciones:

WebUIObjects > Attacks > Predefined: Desactive la casilla de verificación de la colataque que desee desactivar.

CLIset attack disable attack_object_name

Para volver a activar un objeto de ataque previamente desactivado, haga una de las

WebUIObjects > Attacks > Predefined: Active la casilla de verificación en la columnataque que desee activar.

CLI

unset attack disable attack_object_name

Nota: Desactivar los objetos de ataque no mejora el rendimiento de procesamiento.

Capítulo 5 Deep Inspection Acciones de ataque

defensa 164

e para el grupo de ataques que ntinuación, desde la más grave

umpe la conexión y envía TCP tificaciones RST no es fiable,

ue al menos uno reciba el RST

te no fiable y dirigidas a un spositivo NetScreen interrumpe s mientras el cliente queda a la

o hacia un servidor no fiable. NetScreen interrumpe la s el servidor queda a la espera.

DNS. El dispositivo NetScreen

xión)

una anomalía de protocolo, rtar paquetes mal formados sin a una firma de ataque o rumpiría todos los servicios de quete problemático sin detener

re el destinatario, o la dirección de


ACCIONES DE ATAQUECuando el dispositivo NetScreen detecta un ataque, realiza la acción que especifiqucontenga el objeto que coincide con el ataque. Las siete acciones se describen a coa la más leve:

• Close (interrumpe la conexión y envía RST al cliente y al servidor12)

Utilice esta opción para las conexiones TCP. El dispositivo NetScreen interrRST al cliente (origen) y al servidor (destino). Debido a que la entrega de noenviando un RST al cliente y al servidor se aumentan las posibilidades de qy cierre la sesión.

• Close Server (interrumpe la conexión y envía RST al servidor)

Utilice esta opción para conexiones TCP entrantes procedentes de un clienservidor protegido. Si, por ejemplo, el cliente intenta realizar un ataque, el dila conexión y envía un TCP RST sólo al servidor para que borre sus recursoespera.

• Close Client (interrumpe la conexión y envía RST al cliente)

Utilice esta opción para conexiones TCP salientes desde un cliente protegidSi, por ejemplo, el servidor envía una cadena URL maliciosa, el dispositivo conexión y envía un RST sólo al cliente para que borre sus recursos mientra

• Drop (interrumpe la conexión sin enviar RST a nadie)

Utilice esta opción para conexiones UDP u otras conexiones no TCP, comodescarta todos los paquetes en una sesión, pero no envía TCP RST.

• Drop Packet (descarta un paquete determinado pero no interrumpe la cone

Esta opción descarta el paquete en el que se detecta una firma de ataque opero no termina la sesión propiamente dicha. Utilice esta opción para descainterrumpir la sesión entera. Por ejemplo, si el dispositivo NetScreen detectanomalía de protocolo procedente de un proxy de AOL, descartar todo interAOL. En lugar de ello, al descartar únicamente el paquete, se detiene el pael flujo del resto de paquetes.

12. El cliente es siempre el iniciador de una sesión; es decir, la dirección de origen de una directiva. El servidor es siempdestino.


defensa 165

creen efectúa una entrada en

olo, efectúa una entrada en el ra ajustar los falsos positivos ction (DI). Utilice esta opción ades de protocolo no

para el tráfico no SMTP. El ar el registro con falsos

icial de configuración de la que o anomalía de protocolo, ción sobre el tráfico en sí. El esión y realiza entradas en el

e, cada grupo con una acción pertenezcan a grupos de

no de esos grupos.

ento de analizar ataques y ha

te de cualquier dirección de la DMZ.


• Ignore (tras detectar una firma de ataque o una anomalía, el dispositivo NetSel registro y deja de comprobar el resto de la conexión, o la ignora)

Si el dispositivo NetScreen detecta una firma de ataque o anomalía de protocregistro de eventos pero no interrumpe la sesión en sí. Utilice esta opción padurante la fase inicial de configuración de su implementación de Deep Inspetambién cuando un servicio utilice un número de puerto estándar para actividestándar; por ejemplo, Yahoo Messenger utiliza el puerto 25 (puerto SMTP) dispositivo NetScreen registra la ocurrencia una vez por sesión (para no llenpositivos), pero no lleva a cabo ninguna acción.

• None (ninguna acción)

Resulta útil para la identificación inicial de tipos de ataques durante la fase inimplantación de DI. Cuando el dispositivo NetScreen detecta una firma de atarealiza una entrada en el registro de eventos pero no lleva a cabo ninguna acdispositivo NetScreen continúa comprobando el tráfico subsiguiente de esa sregistro si detecta otras firmas de ataque y anomalías.

Puede crear una directiva que haga referencia a múltiples grupos de objetos de ataqudiferente. Si el dispositivo NetScreen detecta simultáneamente múltiples ataques queobjetos de ataque diferentes, aplicará la acción más severa que haya especificado u

Ejemplo: Acciones de ataque – Close Server, Close, Close CliEn este ejemplo hay tres zonas: Trust, Untrust y DMZ. Supongamos que ha terminadllegado a la conclusión de que necesita las tres directivas siguientes:

• ID de directiva 1: Permitir tráfico HTTP, HTTPS, PING y FTP-GET procedenzona Untrust y dirigido a los servidores web (websrv1 y websrv2) de la zona

Ajuste de ataque para la directiva con ID 1:– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS

– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS

– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS

– CRITICAL:FTP:SIGS

– Acción para todos los grupos de objetos de ataque: Close Server

– Logging: Enabled (ajuste predeterminado)


defensa 166

e a los servidores web sted prevé recibir ataques de la

de cualquier dirección de la MZ.

clientes como a los servidores rsos sin importar el nivel de

cualquier dirección de la zona

clientes protegidos para que e prevé un ataque procedente

tScreen activa Deep Inspection de enrutamiento trust-vr.


Decide interrumpir la conexión y enviar una notificación TCP RST solamentprotegidos para que puedan terminar sus sesiones y borrar sus recursos. Uzona Untrust.

• Directiva con ID 2: Permitir tráfico HTTP, HTTPS, PING y FTP procedentezona Trust y dirigido a los servidores web (websrv1 y websrv2) de la zona D

Ajuste de ataque para la directiva con ID 2:– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS– CRITICAL:FTP:SIGS– Acción para todos los grupos de objetos de ataque: Close– Registro: Activado (ajuste predeterminado)

Decide interrumpir la conexión y enviar una notificación TCP RST tanto a losprotegidos para que ambos puedan terminar sus sesiones y borrar sus recugravedad del ataque.

• Directiva con ID 3: Permitir el tráfico FTP-GET, HTTP, HTTPS, PING desdeTrust a cualquier dirección de la zona Untrust.

Ajuste de ataque para la directiva con ID 3:– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS– CRITICAL:FTP:SIGS– Acción para todos los grupos de objetos de ataque: Close Client– Logging: Enabled (ajuste predeterminado)

Optará por interrumpir la conexión y enviar una notificación TCP RST a los ambos puedan terminar sus sesiones y borrar sus recursos. En este caso, sde un servidor HTTP o FTP no fiable.

Aunque las directivas permiten HTTP, HTTPS, Ping, FTP-Get o FTP, el dispositivo Nesolamente para el tráfico HTTP y FTP. Todas las zonas se encuentran en el dominio


defensa 167


e)

OK :

websrv11.2.2.5/24

websrv21.2.2.6/24

Zona DMZ

DI (Trust -> DMZ)HTTP:Crit, High, Med;FTP:Crit;Action:Close

DI (Untrust -> DMZ)HTTP:Crit, High, Med;FTP:CritAction:Close-server


WebUI1. Interfaces


Zone Name: Trust




Interface Mode: NAT

Service Options:

Management Services: (seleccione todos)

Other services: Ping

ethernet21.2.2.1/24

ethernet31.1.1.1/24


Zona Trust

Zona Untrust

DI (Trust -> Untrust)HTTP:Crit, High, Med;FTP:Crit;Action:Close-client


defensa 168


e)


e)

lic en OK :

lic en OK :




Zone Name: Untrust




Zone Name: DMZ




Address Name: websrv1



Zone: DMZ


Address Name: websrv2



Zone: DMZ







defensa 169

haga clic en OK :

y haga clic en OK para a de directivas.

, HTTPS , PING y haga clic en ción básica de directivas.



4. ID de directiva 1Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:



Address Book Entry: (seleccione), websrv1

> Haga clic en Multiple , seleccione websrv2regresar a la página de configuración básic

Service: HTTP

> Haga clic en Multiple , seleccione FTP-GET OK para regresar a la página de configura

Action: Permit


Group: CRITICAL:HTTP :ANOM

Action: Close Server

Log: (seleccione)

Group: CRITICAL:HTTP :SIGS


Log: (seleccione)

Group: HIGH:HTTP:ANOM


Log: (seleccione)


defensa 170

ga clic en OK :

y haga clic en OK para a de directivas.



Group: HIGH:HTTP:SIGS


Log: (seleccione)

Group: MEDIUM:HTTP:ANOM


Log: (seleccione)

Group: MEDIUM:HTTP:SIGS


Log: (seleccione)

Group: CRITICAL:FTP :SIGS


Log: (seleccione)

5. ID de directiva 2Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), websrv1

> Haga clic en Multiple , seleccione websrv2regresar a la página de configuración básic

Service: HTTP


Action: Permit


defensa 171





Action: Close

Log: (seleccione)


Action: Close

Log: (seleccione)


Action: Close

Log: (seleccione)


Action: Close

Log: (seleccione)


Action: Close

Log: (seleccione)


Action: Close

Log: (seleccione)


Action: Close

Log: (seleccione)


defensa 172

haga clic en OK :




6. ID de directiva 3Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: HTTP


Action: Permit




Log: (seleccione)



Log: (seleccione)

Group: HIGH:HTTP :ANOM


Log: (seleccione)

Group: HIGH:HTTP :SIGS


Log: (seleccione)


defensa 173


Log: (seleccione)



Log: (seleccione)



Log: (seleccione)


defensa 174

gateway 1.1.1.250

mit attack

e-serverrverrverserverserver-server


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 manageset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet2 zone dmzset interface ethernet2 ip 2.1.1.1/24

2. Direccionesset address dmz websrv1 1.2.2.5/32set address dmz websrv2 1.2.2.6/32


4. ID de directiva 1set policy id 1 from untrust to dmz any websrv1 http per

CRITICAL:HTTP:ANOM action close-serverset policy id 1ns(policy:1)-> set dst-address websrv2ns(policy:1)-> set service ftp-getns(policy:1)-> set service httpsns(policy:1)-> set service pingns(policy:1)-> set attack CRITICAL:HTTP:SIGS action closns(policy:1)-> set attack HIGH:HTTP:ANOM action close-sens(policy:1)-> set attack HIGH:HTTP:SIGS action close-sens(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-ns(policy:1)-> set attack CRITICAL:FTP:SIGS action closens(policy:1)-> exit


defensa 175

t attack

e

t attack

e-clientientientclientclient-client


5. ID de directiva 2set policy id 2 from trust to dmz any websrv1 http permi

CRITICAL:HTTP:ANOM action closeset policy id 2ns(policy:2)-> set dst-address websrv2ns(policy:2)-> set service ftpns(policy:2)-> set service httpsns(policy:2)-> set service pingns(policy:2)-> set attack CRITICAL:HTTP:SIGS action closns(policy:2)-> set attack HIGH:HTTP:ANOM action closens(policy:2)-> set attack HIGH:HTTP:SIGS action closens(policy:2)-> set attack MEDIUM:HTTP:ANOM action closens(policy:2)-> set attack MEDIUM:HTTP:SIGS action closens(policy:2)-> set attack CRITICAL:FTP:SIGS action closens(policy:2)-> exit

6. ID de directiva 3set policy id 3 from trust to untrust any any http permi

CRITICAL:HTTP:ANOM action close-clientset policy id 3ns(policy:3)-> set service ftp-getns(policy:3)-> set service httpsns(policy:3)-> set service pingns(policy:3)-> set attack CRITICAL:HTTP:SIGS action closns(policy:3)-> set attack HIGH:HTTP:ANOM action close-clns(policy:3)-> set attack HIGH:HTTP:SIGS action close-clns(policy:3)-> set attack MEDIUM:HTTP:ANOM action close-ns(policy:3)-> set attack MEDIUM:HTTP:SIGS action close-ns(policy:3)-> set attack CRITICAL:FTP:SIGS action closens(policy:3)-> exitsave

Capítulo 5 Deep Inspection Registro de ataques

defensa 176

a. Es decir, dentro de la misma stro de los ataques detectados

registro de los ataques que odos, desactivando el registro

no tiene pensado mirar.

irectiva y habilita el registro

vidor de correo llamado “mail1” s anteriores coincide con un s entradas de registro para los s.

lic en OK :


REGISTRO DE ATAQUESPuede habilitar el registro de ataques detectados por grupo de ataque y por directivdirectiva, puede aplicar múltiples grupos de ataque y habilitar selectivamente el regisólo para algunos de ellos.

De forma predeterminada, el registro está activado. Puede que desee desactivar el tengan menos prioridad para usted y a los que no presta mucha atención. De todos mde esos ataques, ayuda a evitar que el registro de eventos se llene de entradas que

Ejemplo: Desactivar el registro por grupo de ataquesEn este ejemplo, hace referencia a los cinco grupos siguientes de ataques en una dsolamente para los dos primeros:

• HIGH:IMAP:ANOM

• HIGH:IMAP:SIGS

• MEDIUM:IMAP:ANOM

• LOW:IMAP:ANOM

• INFO:IMAP:ANOM

La directiva se aplica al tráfico IMAP desde todos los hosts de la zona fiable a un seren el DMZ. Si alguno de los objetos de ataque IMAP predefinidos de los cinco grupoataque, el dispositivo NetScreen cierra la conexión. Sin embargo, crea solamente laataques detectados que coincidan con objetos de ataque en los primeros dos grupo

WebUI


Address Name: mail1



Zone: DMZ


defensa 177

ga clic en OK :



2. DirectivaPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), mail1

Service: IMAP

Action: Permit


Group: HIGH:IMAP:ANOM

Action: Close

Log: (seleccione)

Group: HIGH:IMAP:SIGS

Action: Close

Log: (seleccione)

Group: MEDIUM:IMAP:ANOM

Action: Close

Log: (anule la selección)

Group: LOW:IMAP:ANOM

Action: Close


Group: INFO:IMAP:ANOM

Action: Close



defensa 178

rmit attack


CLI

1. Direcciónset address dmz mail1 1.2.2.10/32

2. Directivans-> set policy id 1 from trust to dmz any mail1 imap pe

HIGH:IMAP:ANOM action closens-> set policy id 1ns(policy:1)-> set attack HIGH:IMAP:SIGS action closens(policy:1)-> set attack MEDIUM:IMAP:ANOM action closens(policy:1)-> unset attack MEDIUM:IMAP:ANOM loggingns(policy:1)-> set attack LOW:IMAP:ANOM action closens(policy:1)-> unset attack LOW:IMAP:ANOM loggingns(policy:1)-> set attack INFO:IMAP:ANOM action closens(policy:1)-> unset attack INFO:IMAP:ANOM loggingns(policy:1)-> exitns-> save

Capítulo 5 Deep Inspection Asignación de servicios personalizados a aplicaciones

defensa 179

ep Inspection (DI), deberá a que el módulo DI pueda a que se ejecute en un número lizado en una directiva de la

-port 2121-2121m-ftp permit

al servicio personalizado, el rto no estándar.

m-ftp permit attack

FTP se está ejecutando en el ón (“Application Layer”) a un iación se puede realizar a nivel

t


ASIGNACIÓN DE SERVICIOS PERSONALIZADOS A APLICACIONESCuando utilice un servicio personalizado en una directiva con un componente de Deespecificar explícitamente qué aplicación se está ejecutando sobre ese servicio parfuncionar correctamente. Por ejemplo, si crea un servicio personalizado de FTP parde puerto no estándar como el 2121, puede hacer referencia a ese servicio personasiguiente forma:

set service ftp-custom protocol tcp src-port 0-65535 dstset policy id 1 from untrust to trust any ftp-srv1 custo

Sin embargo, si incluye un componente de DI en una directiva que haga referencia módulo de DI no podrá reconocer la aplicación, porque se utiliza un número de pue

set policy id 1 from untrust to trust any ftp-srv1 custoCRITICAL:FTP:SIGS action close-server

Para evitar este problema, es necesario informar al módulo DI de que la aplicación puerto 2121. Esencialmente, consiste en asignar el protocolo de la capa de aplicacinúmero de puerto específico en la capa de transporte (“Transport Layer”). Esta asocde directivas:

set policy id 1 application ftp

custom-ftp (puerto 2121)

FTP (puerto 21) ftp-srv1

Zona TrusZona Untrust

Internet

Sin embargo, el módulo DI comprueba si hay ataques CRITICAL:FTP en el puerto 21, que no está siendo utilizado.

El cortafuegos de NetScreen permite tráfico custom-ftp en el puerto 2121.


defensa 180

igura DI para que examine el ITICAL:FTP:SIGS en una l puerto 2121.

m-ftp permit attack

puerto de destino 8080. a el tráfico HTTP1 desde a DMZ. A continuación aplica

ajustes del Deep Inspection

ftp-srv1

ona Trust


Cuando se asigna la aplicación FTP al servicio personalizado “custom-ftp” y se conftráfico FTP en busca de los ataques definidos en el grupo de objetos de ataque CRdirectiva que haga referencia a “custom-ftp”, el módulo DI realiza su inspección en e

set policy id 1 from untrust to trust any ftp-srv1 custoCRITICAL:FTP:SIGS action close-server

set policy id 1 application ftp

Ejemplo: Asignar una aplicación a un servicio personalizadoEn este ejemplo definirá un servicio personalizado llamado “HTTP1” que utilizará elAsignará la aplicación HTTP al servicio personalizado para una directiva que permitcualquier dirección de la zona Untrust a un servidor web llamado “server1” en la zonDeep Inspection al tráfico de HTTP permitido que se ejecuta en el puerto 8080. Lospara esta directiva son los siguientes:

• Grupos de objetos de ataque:

– CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS

– HIGH:HTTP:ANOM, HIGH:HTTP:SIGS

– MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS

• Acción para todos los grupos de objetos de ataque: Close Server

• Logging: Enabled (ajuste predeterminado)

custom-ftp (puerto 2121)

ZZona Untrust

Internet

El cortafuegos de NetScreen permite tráfico custom-ftp en el puerto 2121.

El módulo DI comprueba si hay ataques CRITICAL:FTP:SIGS en el puerto 2121.


defensa 181

clic en OK :

lic en OK :

haga clic en OK :


WebUI

1. Servicio personalizadoObjects > Services > Custom > New: Introduzca los siguientes datos y haga

Service Name: HTTP1

Transport Protocol: TCP (seleccione)

Source Port Low: 0

Source Port High: 65535

Destination Port Low: 8080

Destination Port High: 8080


Address Name: server1


IP/Netmask: 1.2.2.5/32

Zone: DMZ


Source Address:



Address Book Entry: (seleccione), server1

Service: HTTP1

Application: HTTP

Action: Permit


defensa 182






Log: (seleccione)



Log: (seleccione)



Log: (seleccione)



Log: (seleccione)



Log: (seleccione)



Log: (seleccione)


defensa 183

8080-8080

P1 permit attack

e-serverrverrverserverserver


CLI

1. Servicio personalizadoset service HTTP1 protocol tcp src-port 0-65535 dst-port

2. Direcciónset address dmz server1 1.2.2.5/32

3. Directivans-> set policy id 1 from untrust to dmz any server1 HTT

CRITICAL:HTTP:ANOM action close-serverns-> set policy id 1ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action closns(policy:1)-> set attack HIGH:HTTP:ANOM action close-sens(policy:1)-> set attack HIGH:HTTP:SIGS action close-sens(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-ns(policy:1)-> exitns-> set policy id 1 application httpsave


defensa 184

e HTTP redactar este documento, hay

MEDIUM:HTTP:SIGS)

CRITICAL:HTTP:SIGS)

TP el tráfico TCP en el puerto , no lo reconocerá como HTTP. no podrá detectarlos si se sando el puerto 8000.

para detectar los ataques

clic en OK :

puerto no estándar en su red y o estándar al servicio.


Ejemplo: Asignación de aplicación a servicio para ataques dAlgunos ataques de HTTP conocidos utilizan el puerto 8000 TCP. En el momento dedos ataques en la base de datos de objetos de ataque de Deep Inspection (DI):

• 3656, App: HP Web JetAdmin Framework Infoleak

DOS:NETDEV:WEBJET-FW-INFOLEAK (en el grupo de objetos de ataque

• 3638, App: HP Web JetAdmin WriteToFile Vulnerability,

DOS:NETDEV:WEBJET-WRITETOFILE (en el grupo de objetos de ataque

Sin embargo, de forma predeterminada, ScreenOS solamente considera que es HT80. Por lo tanto, si el dispositivo NetScreen recibe tráfico TCP usando el puerto 8000Por lo tanto, el motor DI no explorará ese tráfico HTTP para buscar estos ataques yproducen, a menos que asigne HTTP como aplicación a un servicio personalizado u

En este ejemplo, asociará el tráfico usando el puerto no estándar de 8000 con HTTPanteriores.

WebUI

1. Servicio personalizadoObjects > Services > Custom > New: Introduzca los siguientes datos y haga

Service Name: HTTP2

Transport Protocol: TCP (seleccione)

Source Port Low: 0

Source Port High: 65535

Destination Port Low: 8000

Destination Port High: 8000

Nota: Generalmente, si está ejecutando algunos servicios usando los números de desea que el motor de DI explore ese tráfico, deberá asociar el número de puerto n


defensa 185

haga clic en OK :




Source Address:




Service: HTTP2

Application: HTTP

Action: Permit


Group: CRITICAL:HTTP:SIGS

Action: Close

Log: (seleccione)


Action: Close

Log: (seleccione)


defensa 186

8000-8000

ermit attack


CLI

1. Servicio personalizadoset service HTTP2 protocol tcp src-port 0-65535 dst-port

2. Directivans-> set policy id 1 from untrust to dmz any any HTTP2 p

CRITICAL:HTTP:SIGS action closens-> set policy id 1ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action closens(policy:1)-> exitns-> set policy id 1 application httpsave

Capítulo 5 Deep Inspection Objetos de ataque y grupos personalizados

defensa 187

r la aplicación Deep Inspection efinidos por el usuario pueden . Puede ajustar también varios los.

suariora crear un objeto de ataque,

os por el usuario deben

una lista completa de todos los ice A, “Contextos para firmas

188, examina las expresiones

sobre niveles de gravedad,

po de objetos de ataque

jetos de ataque definidos por el ataque predefinidos y definidos


OBJETOS DE ATAQUE Y GRUPOS PERSONALIZADOSUsted puede definir nuevos objetos de ataque y grupos de objetos para personaliza(DI) con el fin de resolver lo mejor posible sus necesidades. Los objetos de ataque dser firmas completas o -en el dispositivo NetScreen-5000- firmas de secuencias TCPparámetros para modificar objetos de ataques predefinidos de anomalías de protoco

Objetos de ataque de firma completa definidos por el uSe puede crear un objeto de ataque de firma completa para FTP, HTTP y SMTP. Parealice los pasos siguientes:

• Asigne un nombre el objeto de ataque. (Todos los objetos de ataque definidcomenzar con “CS:”).

• Establezca el contexto para la búsqueda de Deep Inspection. (Para obtenercontextos que puede utilizar al crear objetos de ataques, consulte el Apénddefinidas por el usuario”).

• Defina la firma. (La sección siguiente, “Expresiones regulares” en la páginaregulares que puede utilizar al definir las firmas).

• Asigne un nivel de gravedad al objeto de ataque. (Para obtener informaciónconsulte “Cambio de los niveles de gravedad” en la página 159).

A continuación deberá colocar un objeto de ataque definido por el usuario en un grudefinido por el usuario para su utilización en directivas.

Nota: Un grupo de objetos de ataque definido por el usuario sólo puede contener obusuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos de por el usuario.


defensa 188

racteres normales para buscar para ampliar las posibles guientes expresiones regulares:

do

exactamente con este número 2”.

s coincidencias exactas con estos eros hexadecimales: 00”.

s caracteres contenidos en “cat” ar si están en letras mayúsculas o s.

-cualquier carácter-t”.


Expresiones regularesPara introducir el texto de una firma, puede escribir una cadena alfanumérica de cacoincidencias exactas carácter por carácter, o puede utilizar expresiones regulares coincidencias de la búsqueda a conjuntos de caracteres. ScreenOS reconoce las si

Finalidad Metacaracteres Ejemplo Significa

Coincidencia binaria directa (octal)*

\O octal_number \0162

Coincide con:162

Coincidir octal: “16

Coincidencia binaria directa (hexadecimal)†

\X hexadecimal_number \X \X01 A5 00 00\X

Coincide con:01 A5 00 00

Buscar lacinco núm“01 A5 00

Coincidencias sin distinguir mayúsculas de minúsculas

\[ characters \] \[cat\]

Coincide con:Cat, cAt, caTCAt, CaT, CATcat, cAt

Buscar losin importminúscula

Coincidencia con cualquier carácter

. c . t

Coincide con:cat, cbt, cct, … cztcAt, cBt, cCt, … cZtc1t, c2t, c3t, … c9t

Buscar “c


defensa 189

1 o más ocurrencias de “a”, por 1 o más ocurrencias de “b” y por una ocurrencia de “c”.

o más ocurrencias de “a”, por 1 o más ocurrencias de “b” y currencia de “c”.

rop-packet” o “droppacket”.

rop” o “packet”.

do


Buscar el carácter anterior 0 o más veces, en lugar de sólo una vez seguida.

* a*b+c

Coincide con:bcbbcabcaaabbbbc

Buscar 0,seguidas seguidas

Buscar 1 o más ocurrencias del carácter anterior.

+ a+b+c

Coincide con:abcaabcaaabbbbc

Buscar 1 seguidas por una o

Busca el carácter anterior 0 veces o 1 vez.

? drop-?packet

Coincide con:drop-packetdroppacket

Buscar “d

Expresiones de grupos ( )

El carácter anterior o el siguiente. Se suele utilizar con ( )

| (drop | packet)

Coincide con:droppacket

Buscar “d



defensa 190

do lo que comience con “c”, “d”, enga la letra central “a” y la última “t”.

tras minúsculas.

e representan dígitos hexadecimales

do


Rango de caracteres [ start - end ] [ c - f ] a (d | t)

Coincide con:cad, catdad, datead, eatfad, fat

Buscar to“e” o “f”, tletra “d” o

Negación del carácter siguiente.

[^characters ] [ ̂ 0 - 9A-Z ]

Coincide con:a, b, c, d, e, … z

Buscar le

* Octal es el sistema numérico en base 8 que utiliza solamente los dígitos 0-7.† Hexadecimal es un sistema numérico en base 16 que utiliza los dígitos 0–9 habituales más las letras A–F, qu

equivalentes a los valores decimales 10–15.



defensa 191

r el usuario la zona DMZ. Definirá los

rio llamado “DMZ DI”, al que ores en la zona DMZ.

clic en OK :

clic en OK :

vidor FTP.

nicio de sesión “dmartin”.

n cualquier petición HTTP.

r cuenta del dominio


Ejemplo: Objetos de ataque de firma completa definidos poEn este ejemplo tendrá un servidor FTP, un servidor web y un servidor de correo ensiguientes objetos de ataque para los usos siguientes:

A continuación los organizará en un grupo de objetos de ataque definido por el usuahará referencia en una directiva que permita el tráfico de la zona Untrust a los servid

WebUI1. Objeto de ataque 1: ftp-stor

Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: cs:ftp-stor

Attack Context: FTP Command

Attack Severity: Medium

Attack Pattern: STOR

2. Objeto de ataque 2: ftp-user-dmObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: cs:ftp-user-dm

Attack Context: FTP User Name

Attack Severity: Low

Attack Pattern: dmartin

Nombre del objeto de ataque

Puede utilizarlo para

cs:ftp-stor impedir que alguien pueda colocar archivos en su ser

cs:ftp-user-dm denegar el acceso FTP al usuario con el nombre de i

cs:url-index bloquear los paquetes HTTP con una URL definida e

cs:spammer bloquear el correo electrónico procedente de cualquie“spam.com”.


defensa 192

clic en OK :

clic en OK :

de grupo, mueva los siguientes

ara mover la dirección de la “Selected Members”.

<< para mover la dirección de na “Selected Members”.

para mover la dirección de la “Selected Members”.

para mover la dirección de la “Selected Members”.


3. Objeto de ataque 3: url-indexObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: cs:url-index

Attack Context: HTTP URL Parsed

Attack Severity: High

Attack Pattern: .*index.html.*

4. Objeto de ataque 4: spammerObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: cs:spammer

Attack Context: SMTP From

Attack Severity: Info

Attack Pattern: .*@spam.com

5. Grupo de objetos de ataqueObjects > Attacks > Custom Groups > New: Introduzca el siguiente nombre objetos de ataque personalizados y haga clic en OK :

Group Name: CS:DMZ DI

Seleccione cs:ftp-stor y utilice el botón << pcolumna “Available Members” a la columna

Seleccione cs:ftp-user-dm y utilice el botón la columna “Available Members” a la colum

Seleccione cs:url-index y utilice el botón <<columna “Available Members” a la columna

Seleccione cs:spammer y utilice el botón <<columna “Available Members” a la columna


defensa 193

haga clic en OK :

ga clic en OK para regresar a ivas.




Source Address:




Service: HTTP

> Haga clic en Multiple , seleccione FTP y hala página de configuración básica de direct

Action: Permit


Group: CS:DMZ DI


Log: (seleccione)


defensa 194

low

ity high

o

attack “CS:DMZ DI”


CLI

1. Objeto de ataque 1: ftp-storset attack cs:ftp-stor ftp-command STOR severity medium

2. Objeto de ataque 2: ftp-user-dmset attack cs:ftp-user-dm ftp-username dmartin severity

3. Objeto de ataque 3: url-indexset attack cs:url-index http-url-parsed index.html sever

4. Objeto de ataque 4: spammerset attack cs:spammer smtp-from .*@spam.com severity inf

5. Grupo de objetos de ataqueset attack group “CS:DMZ DI”set attack group “CS:DMZ DI” add cs:ftp-storset attack group “CS:DMZ DI” add cs:ftp-user-dmset attack group “CS:DMZ DI” add cs:url-indexset attack group “CS:DMZ DI” add cs:spammer

6. Directivaset policy id 1 from untrust to dmz any any http permit

action close-serverset policy id 1ns(policy:1)-> set service ftpns(policy:1)-> exitsave


defensa 195

un nombre de usuario de FTP ones en cualquier lugar y en

ecesario definirlos. Al crear un

usuario deben comenzar con

NetScreen-5000.

dad


Objetos de ataque de la firma de la secuencia TCPLas firmas completas dependen de los contextos de aplicaciones específicas, comoo un campo de encabezado de SMTP. Las firmas de la secuencia TCP buscan patrcualquier tipo de tráfico TCP sin importar el protocolo de aplicación utilizado.

Dado que no hay objetos de ataque de firma de la secuencia TCP predefinidos, es nobjeto de ataque de firma, defina los siguientes componentes:

• Nombre del objeto de ataque (Todos los objetos de ataque definidos por el “CS:”)

• Tipo de objeto (secuencia o “stream”)

• Definición de patrón

• Nivel de gravedad

Nota: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie

Tipo Definición Nivel de grave

Ejemplo de un objeto de ataque de firma de secuencia TCP

Nombre


defensa 196

por el usuariobre como “CS:A1” y su nivel de te a grupos de objetos de te, definirá una directiva que

ión y enviar TCP RST al cliente

clic en OK :

y haga clic en OK :

embers” y haga clic en << ers”.


Ejemplo: Objeto de ataque de firma de secuencia definido En este ejemplo definirá el objeto de firma de secuencia “.*satori.*”. Definirá su nomgravedad como crítico. Debido a que una directiva puede hacer referencia solamenataque, creará un grupo llamado “CS:Gr1” y luego le agregará este objeto. Finalmenhaga referencia a CS:Gr1 y que ordene al dispositivo NetScreen interrumpir la conexsi el patrón aparece en algún tráfico al que sea aplicable la directiva.

WebUI

1. Objeto de ataque de firma de secuencia

Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: CS:A1

Attack Context: Stream

Attack Severity: Critical

Attack Pattern: .*satori.*

2. Grupo de objetos de ataque de firma de secuencia

Objects > Attacks > Custom Groups > New: Introduzca los siguientes datos

Group Name: CS:Gr1

Seleccione CS:A1 en la columna “Available Mpara moverlo a la columna “Selected Memb


defensa 197

haga clic en OK :


ck CS:Gr1 action


3. Directiva

Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: ANY

Action: Permit


Group: CS:Gr1


Log: (seleccione)

CLI

1. Objeto de ataque de firma de secuenciaset attack “CS:A1” stream “.*satori.*” severity critical

2. Grupo de ataques de firma de secuenciaset attack group “CS:Gr1”set attack group “CS:Gr1” add “CS:A1”

3. Directivaset policy from trust to untrust any any any permit atta

close-clientsave


defensa 198

lo. Aunque Juniper define ándares de protocolo definidos len estos estándares. Si otocolo está produciendo jor al uso aceptado de ese

ucir el número de positivos

ortamiento anómalo que el

lte el comando di en el

ado Nuevo8 errores

10 saltos

ado Nuevo5.000 bytes


Parámetros configurables de anomalías de protocolosPuede modificar ciertos parámetros de un objeto de ataque de anomalía de protocoobjetos de ataque de anomalía de protocolo para buscar las desviaciones de los esten las extensiones de RFCs y RFC comunes, no todas las implementaciones cumpencuentra que la aplicación de un determinado objeto de ataque de anomalía de prnumerosos positivos falsos, puede modificar sus parámetros para que se ajuste meprotocolo en su red.

Ejemplo: Modificación de parámetrosEn este ejemplo, establece valores más altos en los parámetros siguientes para redfalsos que se produjeron con los ajustes predeterminados:

Para los parámetros siguientes, establezca valores más bajos para detectar el compdispositivo NetScreen no detectó con los ajustes predeterminados:

Nota: Para obtener una lista completa de todos los parámetros configurables, consuNetScreen CLI Reference Guide.

Parámetro de protocolo PredeterminSMB – Número máximo de errores de inicio de sesión por minuto 4 errores

Gnutella – Número máximo de saltos “time-to-live” (TTL) 8 saltos

Parámetro de protocolo PredeterminAOL Instant Messenger (AIM) – Longitud máxima del nombre de archivo OFT (transferencia de archivos OSCAR)OSCAR = Sistema abierto para la comunicación en tiempo real, el protocolo que utilizan los clientes AIM.

10.000 bytes


defensa 199

5.000 bytes

tocolo.

ado Nuevo


WebUI

CLI

set di service smb failed_logins 8set di service gnutella max_ttl_hops 10set di service aim max_flap_length 5000set di service aim max_oft_frame 5000save

AOL Instant Messenger – Longitud máxima de un marco FLAP (encabezado FLAP, que es siempre 6 bytes, más datos)OSCAR usa el protocolo FLAP para establecer conexiones y abrir canales entre los clientes AIM.

10.000 bytes

Nota: Debe utilizar el CLI para modificar los parámetros de anomalía de pro

Parámetro de protocolo Predetermin

Capítulo 5 Deep Inspection Negación

defensa 200

os de una actividad malévola o e una actividad benigna o ide con un patrón determinado. ión.

os de inicio de sesión con ícil definir todos los nombres de ión aplicar la negación para objeto de ataque especificado.

usuario correcto requerido para a la negación a ambos objetos

de sesión en ese servidor que objetos de ataque.

ftp1 .

osts en las zonas Untrust y

trust-vr.


NEGACIÓNNormalmente, se utilizan objetos de ataque para buscar patrones que sean indicativanómala. Sin embargo, también puede utilizarlos para buscar patrones indicativos dlegítima. Con este método, solamente es sospechoso el tipo de tráfico que no coincPara utilizar objetos de ataques de esta manera, ha de aplicar el concepto de negac

Una aplicación útil de la negación del objeto de ataque sería bloquear todos los intentexcepción de los que tengan el nombre de usuario y la contraseña correctos. Sería difusuario y contraseñas no válidos, pero es muy fácil definir los correctos y a continuacinvertir lo que el dispositivo NetScreen considere un ataque; es decir, todo excepto el

Ejemplo: Negación del objeto de ataqueEn este ejemplo definiremos dos objetos de ataque: uno que especifique el nombre deiniciar una sesión en un servidor FTP y otro con la contraseña correcta. Luego le aplicde ataques, de modo que el dispositivo NetScreen bloquee cualquier intento de inicioutilice cualquier otro nombre de usuario o contraseña diferentes a las definidas en los

El ejemplo utiliza los ajustes siguientes:

• El nombre de usuario y la contraseña correctos son admin1 y pass1 .

• El servidor FTP está en 1.2.2.5 en la zona DMZ. Su nombre de dirección es

• Aplica el Deep Inspection en el tráfico de FTP al servidor desde todos los hTrust.

• Todas las zonas de seguridad se encuentran en el dominio de enrutamiento

Crerá los dos objetos de ataques siguientes:

Objeto de ataque 1:

– Name: CS:FTP1_USR_OK

– Negation: enabled

– Context: ftp-username

– Pattern: admin1

– Severity: high


defensa 201

:FTP1_LOGIN y hará o FTP desde las zonas Trust y

Zservidor

FTP“ftp1”

1.2.2.5

esión:admin1

esión:admin1

N

yor claridad, no se muestra el rno de la zona Untrust. Su 1.1.250.


Objeto de ataque 2:

– Name: CS:FTP1_PASS_OK

– Negation: enabled

– Context: ftp-password

– Pattern: pass1

– Severity: high

A continuación pondrá ambos objetos en un grupo de objetos de ataque llamado CSreferencia a ese grupo de objetos de ataque en dos directivas que permiten el tráficUntrust a ftp1 en la zona DMZ.

Untrust

Internet

Trust

DM


ethernet31.1.1.1/24

ethernet21.2.2.1/24

Intento de inicio de sNombre de usuario: Contraseña: pass1

Intento de inicio de sNombre de usuario: Contraseña: pass1

Intento de inicio de sesión:Nombre de usuario: anonContraseña: logos

Intento de inicio de sesión:Nombre de usuario: 123456Contraseña: 123456

LA

LAN

Nota: Para maenrutador extedirección es 1.


defensa 202


e)

OK :


e)


e)

pción ya está habilitada para las


WebUI


Zone Name: Trust



Seleccione los siguientes datos y haga clic en

Interface Mode: NAT (seleccione)13


Zone Name: DMZ




Zone Name: Untrust



13. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta ointerfaces asociadas a la zona Trust.


defensa 203

lic en OK :

clic en OK :

clic en OK :



Address Name: ftp1



Zone: DMZ

3. Objeto de ataque 1: CS:FTP1_USR_OKObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: CS:FTP1_USR_OK

Attack Context: ftp-username


Attack Pattern: admin1

Pattern Negation: (seleccione)

4. Objeto de ataque 2: CS:FTP1_PASS_OKObjects > Attacks > Custom > New: Introduzca los siguientes datos y haga

Attack Name: CS:FTP1_PASS_OK

Attack Context: ftp-password


Attack Pattern: pass1

Pattern Negation: (seleccione)


defensa 204

de grupo, mueva los siguientes

tón << para mover la dirección umna “Selected Members”.

otón << para mover la bers” a la columna “Selected


0

haga clic en OK :


5. Grupo de objetos de ataqueObjects > Attacks > Custom Groups > New: Introduzca el siguiente nombre objetos de ataque personalizados y haga clic en OK :

Group Name: CS:FTP1_LOGIN

Seleccione CS:FTP1_USR_OK y utilice el bode la columna “Available Members” a la col

Seleccione CS:FTP1_PASS_OK y utilice el bdirección desde la columna “Available MemMembers”.





Gateway IP Address: (seleccione) 1.1.1.25

7. DirectivasPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:



Address Book Entry: (seleccione), ftp1

Service: FTP

Action: Permit


defensa 205


ga clic en OK :




Group: CS:FTP1_LOGIN

Action: Drop

Log: (seleccione)

Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), ftp1

Service: FTP

Action: Permit


Group: CS:FTP1_LOGIN

Action: Drop

Log: (seleccione)


defensa 206

ty highty high

gateway 1.1.1.250

k CS:FTP1_LOGIN action

CS:FTP1_LOGIN action


CLI




2. Direcciónset address dmz ftp1 1.2.2.5/32

3. Objetos de ataqueset attack CS:FTP1_USR_OK ftp-username not admin1 severiset attack CS:FTP1_PASS_OK ftp-password not pass1 severiset attack group CS:FTP1_LOGINset attack group CS:FTP1_LOGIN add CS:FTP1_USR_OKset attack group CS:FTP1_LOGIN add CS:FTP1_PASS_OK


5. Directivasset policy from untrust to dmz any ftp1 ftp permit attac

drop set policy from trust to dmz any ftp1 ftp permit attack

dropsave

Capítulo 5 Deep Inspection Bloqueo granular de los componentes de HTTP

defensa 207

lets de Java, archivos .zip y n a la seguridad de una red es lar una aplicación en los hosts

seguridad, el dispositivo sa zona. Comprueba si el tipo de destino se encuentra en la reen está configurado para uete. Si el tipo de contenido

ivo NetScreen examina el tipo creen está configurado para

bloquea todos los paquetes s ActiveX, applets de Java,

b dinámicas e interactivas. Los entre sí. Por ejemplo, ActiveX desde una base de datos s tales como applets de Java, o

ea los applets de Java, o si no.


BLOQUEO GRANULAR DE LOS COMPONENTES DE HTTPUn dispositivo NetScreen puede bloquear selectivamente controles de ActiveX, apparchivos .exe enviados a través de HTTP. El peligro que estos componentes planteaque proporcionan a los interlocutores no fiables un medio para cargar y luego controde una red protegida.

Cuando se habilita el bloqueo de uno o más de estos componentes en una zona deNetScreen examina cada encabezado HTTP que llegue a una interfaz asociada a ede contenido detallado en el encabezado indica que cualquiera de los componentescarga del paquete. Si el tipo de contenido es Java, .exe o .zip y el dispositivo NetScbloquear esos tipos de componentes HTTP, el dispositivo NetScreen bloquea el paqsólo detalla “octet stream” en lugar de un tipo específico de componente, el dispositde archivo en la carga. Si el tipo de archivo es Java, .exe, o .zip y el dispositivo NetSbloquear esos tipos de componentes, el dispositivo NetScreen bloquea el paquete.

Cuando se habilita el bloqueo de los controles de ActiveX, el dispositivo NetScreen HTTP que contienen cualquier tipo de componente HTTP en sus controles (controlearchivos .exe o archivos .zip).

Controles ActiveXLa tecnología ActiveX de Microsoft permite a los diseñadores web crear páginas wecontroles ActiveX son componentes que permiten a diversos programas interactuarpermite a su explorador web abrir una hoja de cálculo o mostrar su cuenta personalbackend. Los componentes de ActiveX también pueden contener otros componentearchivos como .exe y .zip.

Nota: Cuando el bloqueo de ActiveX está habilitado, el dispositivo NetScreen bloquarchivos .exe y archivos .zip tanto si están contenidos en un control de ActiveX com


defensa 208

roles de ActiveX al equipo. o del programador que

ncia del código, puede iniciar la

or haya previsto. Si es código r todo su correo electrónico

ionalidad de las páginas web al a máquina virtual de Java (VM) plets interactuaran con otros nes para proporcionar mayor ursos locales fuera de la VM. a de la VM, plantean la misma

t, no existe garantía de que ario malintencionado podría sponder con un archivo .exe

contiene unos o más archivos ción anterior que trata sobre ntener archivos .exe.


Cuando se visita un sitio web con ActiveX habilitado, el sitio pide descargar los contMicrosoft proporciona un mensaje emergente que muestra el nombre de la empresaautenticó el código ActiveX que se ofrece para su descarga. Si confia en la procededescarga de los controles. Si no confía en el origen, puede rechazarlos.

Si descarga un control ActiveX a su equipo, éste podrá hacer con él lo que su creadmalévolo, podrá volver a formatear su disco duro, eliminar todos sus archivos, enviapersonal a su jefe, etcétera.

Applets de JavaCon una finalidad parecida a ActiveX, los applets de Java también aumentan la funcpermitirles interactuar con otros programas. Los applets de Java se descargan a unen su equipo. En la versión inicial de Java, la máquina virtual no permitía que los aprecursos de su equipo. A partir de Java 1.1, se relajaron algunas de estas restricciofuncionalidad. Consecuentemente, los applets de Java ahora pueden acceder a recDebido a que un atacante puede programar los applets de Java para funcionar fueramenaza a la seguridad que los controles de ActiveX.

Archivos EXEEn los archivos ejecutables (archivos con la extensión .exe) descargados de Internepuedan ejecutarse sin riesgo. Aunque el sitio de descarga sea de confianza, un usuestar rastreando las peticiones de descarga de ese sitio, interceptar su petición y remanipulado con código dañino.

Archivos ZIPUn archivo ZIP (es decir, un archivo con la extensión .zip) es un tipo de archivo quecomprimidos. El peligro de descargar un archivo .exe como el presentado en la secarchivos “.exe” también puede aplicarse a los archivos .zip, ya que éstos pueden co


defensa 209

hivos .exe en los paquetes que

Block EXE Component y


Ejemplo: Bloquear applets de Java y archivos .exeEn este ejemplo bloqueará todo el tráfico HTTP que contenga applets de Java y arclleguen a una interfaz de la zona Untrust.

WebUI

Screening > Screen (Zone: Untrust): Seleccione Block Java Component yhaga clic en Apply .

CLI

set zone untrust screen javaset zone untrust screen exesave


defensa 210

6

y defensa 211

Capítulo 6

s

os paquetes para que realicen ” o DoS). A veces resulta difícil é manipulado induce a EEN presentadas en este as:


Atributos de los paquetes sospechoso

Según se indica en otros capítulos de este volumen, un atacante puede manipular ltareas de reconocimiento o ataques de denegación de servicios (“Denial of Servicedeterminar la intención de un paquete manipulado, pero el mismo hecho de que estsospechar que se está incluyendo con algún fin insidioso. Todas las opciones SCRcapítulo bloquean los paquetes sospechosos que pueden contener amenazas ocult

• “Fragmentos ICMP” en la página 212

• “Paquetes ICMP grandes” en la página 214

• “Opciones IP incorrectas” en la página 216

• “Protocolos desconocidos” en la página 218

• “Fragmentos de paquetes IP” en la página 220

• “Fragmentos SYN” en la página 222

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos ICMP

defensa 212

” o ICMP) ofrece posibilidades ntienen mensajes muy cortos,

s. Cuando un paquete ICMP es REEN “ICMP Fragment flag “More Fragments” activado

bación del encabezado

otal del paquete n bytes)azamiento agmento

comprobación

correlativo

nts” o hay un valor distinto de cero en el campo de desplazamiento del fragmento …


FRAGMENTOS ICMPEl protocolo de mensajes de control de Internet (“Internet Control Message Protocolde comunicación de errores y de sondeo de redes. Dado que los paquetes ICMP cono existe ningún motivo legítimo para que los paquetes ICMP resulten fragmentadotan grande que necesita fragmentarse, hay algún problema. Si habilita la opción SCProtection”, el dispositivo NetScreen bloquea cualquier paquete ICMP que tenga el o que contenga algún valor en el campo de desplazamiento (“offset”).

Versión

Suma de compro


Opciones

Encabezado ICMP (carga del paquete IP)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño t

(e

0 D M Despldel fr

Tiempo de vida (“Time to Live” o TTL) Protocolo (ICMP = 1)

Tipo Código Suma de

NúmeroIdentificador

Datos

y el flag “More Fragmeestá activado …

Si el tipo de protocolo es 1 para ICMP…

… el dispositivo NetScreen bloquea el paquete.

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos ICMP

defensa 213

os, donde la zona de seguridad

P Fragment Protection y


Para bloquear los paquetes ICMP fragmentados, utilice uno de los siguientes métodespecificada es la zona en la que se originaron los fragmentos:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMhaga clic en Apply .

CLI

set zone zone screen icmp-fragment

Capítulo 6 Atributos de los paquetes sospechosos Paquetes ICMP grandes

defensa 214

otocolo de mensajes de control unicación de errores y sondeo

ingún motivo legítimo para que ente grande, hay algún nsajes secretos. La presencia do como agente de Loki.

probación del encabezado

del paquete (en ytes)miento del fragmento

mprobación

correlativo

y este valor es > 1024, …


PAQUETES ICMP GRANDESSegún lo indicado en la sección anterior “Fragmentos ICMP” en la página 212, el prde Internet (“Internet Control Message Protocol” o ICMP) ofrece posibilidades de comde redes. Dado que los paquetes ICMP contienen mensajes muy cortos, no existe nse generen paquetes ICMP de gran tamaño. Si un paquete ICMP es extraordinariamproblema. Por ejemplo, el programa Loki utiliza ICMP como canal para transmitir mede paquetes ICMP grandes podría dejar al descubierto a un equipo que esté actuanTambién podría indicar algún otro tipo de actividad ilegítima.

Versión

Suma de com


Opciones

Encabezado ICMP (carga de paquete IP)

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total

b0 D M Desplaza

Tiempo de vida (“Time to Live” o TTL) Protocolo (ICMP = 1)

Tipo Código Suma de co

Número Identificador

Datos

Cuando el tipo de protocolo es 1 para ICMP …


Capítulo 6 Atributos de los paquetes sospechosos Paquetes ICMP grandes

defensa 215

ositivo NetScreen descarta los

odos, donde la zona de

ge Size ICMP Packet (Size >


Cuando se habilita la opción SCREEN “Large Size ICMP Packet Protection”, el disppaquetes ICMP con un tamaño superior a 1024 bytes.

Para bloquear los paquetes ICMP de gran tamaño, utilice uno de los siguientes métseguridad especificada es la zona en la que se originaron los paquetes:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Lar1024) Protection y haga clic en Apply .

CLI

set zone zone screen icmp-large

Capítulo 6 Atributos de los paquetes sospechosos Opciones IP incorrectas

defensa 216

nto de ocho opciones que as de seguridad. Aunque la allado la forma de explotarlas e las opciones IP que los en la página 12).

an las opciones IP y generan ersona que manipuló el ara el destinatario.

Screen bloquea los paquetes tScreen registra el evento en el

l encabezado

e (en bytes)

ragmento

ositivo NetScreen a interfaz de entrada.


OPCIONES IP INCORRECTASLa norma del protocolo de Internet ““RFC 791, Internet Protocol” especifica un conjuofrecen controles de enrutamiento especiales, herramientas de diagnóstico y medidfinalidad original prevista para estas opciones era legítima, algunas personas han hpara lograr objetivos menos loables. (Para ver un resumen de las vulnerabilidades datacantes pueden explotar, consulte “Reconocimiento de red mediante opciones IP”

Ya sea de forma intencionada o accidental, en ocasiones los atacantes desconfigurcampos incompletos o mal formados. Con independencia de las intenciones de la ppaquete, un formato incorrecto es de por sí algo anómalo y potencialmente dañino p

Cuando se habilita la opción SCREEN “Bad IP Option Protection”, el dispositivo Netcuyo encabezado IP contenga cualquier opción IP mal formateada. El dispositivo Neregistro de eventos.

Versión

Suma de comprobación de


Opciones

Carga de datos

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paquet

0 D M Desplazamiento del f


Si las opciones IP están mal formateadas, el dispregistra el evento en los contadores SCREEN de l

Capítulo 6 Atributos de los paquetes sospechosos Opciones IP incorrectas

defensa 217

tilice uno de los siguientes l paquete:

d IP Option Protection y haga


Para detectar y bloquear paquetes con opciones IP incorrectamente formateadas, umétodos, donde la zona de seguridad especificada es la zona en la que se originó e

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Baclic en Apply .

CLI

set zone zone screen ip-bad-option

Capítulo 6 Atributos de los paquetes sospechosos Protocolos desconocidos

defensa 218

erior están reservados y no ede saber por adelantado si un un protocolo no estándar con pedir que esos elementos

NetScreen descarta los olo 137 o superior.

l encabezado

te (en bytes)

ragmento

es


PROTOCOLOS DESCONOCIDOSPor el momento, los tipos de protocolos con los números de identificación 137 o supdefinidos. Debido precisamente a que estos protocolos no están definidos, no se pudeterminado protocolo desconocido es legítimo o malévolo. Salvo que su red utiliceun número de identificación 137 o superior, una buena medida de precaución es imdesconocidos puedan entrar en su red protegida.

Cuando se habilita la opción SCREEN “Unknown Protocol Protection”, el dispositivopaquetes cuyo campo de protocolo contenga un número de identificación de protoc

Versión

Suma de comprobación de


Opciones

Carga de datos

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paque

0 D M Desplazamiento del f


Si el número de identificación del protocolo137 o superior, el dispositivo NetScreen bloquea el paquete.

Capítulo 6 Atributos de los paquetes sospechosos Protocolos desconocidos

defensa 219

s siguientes métodos, donde la

known Protocol Protection y


Para descartar los paquetes que utilicen un protocolo desconocido, utilice uno de lozona de seguridad especificada es la zona en la que se originan los paquetes:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Unhaga clic en Apply .

CLI

set zone zone screen unknown-protocol

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos de paquetes IP

defensa 220

necesario dividirlos en trozos xima (“Maximum Transmission ntar explotar las das implementaciones de pilas riar desde un procesamiento

na de seguridad, el dispositivo s a esa zona.

encabezado

ete (en bytes)

iento del nto

ay un valor distinto de cero el campo de desplazamiento l fragmento …


FRAGMENTOS DE PAQUETES IPA medida que los paquetes van pasando por diferentes redes, en ocasiones resultamás pequeños (fragmentos) para adaptar su tamaño a la unidad de transmisión máUnit” o MTU) de cada red. Aprovechando los fragmentos IP, un atacante puede intevulnerabilidades existentes en el código de reensamblaje de paquetes de determinaIP (“IP stacks”). Cuando la víctima recibe estos paquetes, los resultados pueden vaincorrecto de los paquetes hasta la caída total del sistema.

Cuando se habilita el dispositivo NetScreen para rechazar fragmentos IP en una zobloquea todos los fragmentos de paquetes IP que reciba en las interfaces asociada

Versión

Suma de comprobación del


Opciones

Carga de datos

Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paqu

0 D M Desplazamfragme


Si el flag de más fragmentos está activado …

o hende


Capítulo 6 Atributos de los paquetes sospechosos Fragmentos de paquetes IP

defensa 221

, donde la zona de seguridad

ck Fragment Traffic y haga


Para descartar los paquetes IP fragmentados, utilice uno de los siguientes métodosespecificada es la zona de origen de los fragmentos:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Bloclic en Apply .

CLI

set zone zone screen block-frag

Capítulo 6 Atributos de los paquetes sospechosos Fragmentos SYN

defensa 222

de transmisiones TCP. Dado que la finalidad de sta, el segmento SYN

motivo legítimo para su echoso. Como medida gida.

tScreen detecta los paquetes stá activado en el encabezado de la interfaz de entrada.

iguientes métodos, donde la

Fragment Protection y haga


FRAGMENTOS SYNEl protocolo de Internet (IP) encapsula los segmentos SYN del protocolo de control (“Transmission Control Protocol” o TCP) en el paquete IP que inicia una conexión deeste paquete es iniciar una conexión e invocar un segmento SYN/ACK como respuegeneralmente no contiene datos. Como el paquete IP es pequeño, no existe ningúnfragmentación. Un paquete SYN fragmentado es algo anómalo y, por lo tanto, sosppreventiva, impida que tales elementos desconocidos puedan entrar en su red prote

Cuando se habilita la opción SCREEN “SYN Fragment Detection”, el dispositivo Necuyo encabezado IP indique que el paquete se ha fragmentado y que el flag SYN eTCP. El dispositivo NetScreen registra el evento en la lista de contadores SCREEN

Para descartar los paquetes IP que contengan fragmentos SYN, utilice uno de los szona de seguridad especificada es la zona en la que se originan los paquetes:

WebUI

Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYNclic en Apply .

CLI

set zone zone screen syn-frag


defensa 223

destino de 16 bits

de 16 bits

na de 16 bits

ción del encabezado

uete (en bytes)

plazamiento l fragmento

tos o hay un valor distinto de cero en el campo de desplazamiento del fragmento …

creen te.


Número de puerto de origen de 16 bits Número de puerto de



U R G

A C K

P S H

R S T

Suma de comprobación de TCP de 16 bits Indicador urgente

Tamaño de ventaTamaño de encabezado

Reservado(6 bits)


Datos (si los hay)

S Y N

F I N

Encabezado TCP

… y el flag SYN está activado …

Versión

Suma de comproba



Encabezado IP


Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paq

0 D M Desde


Si el flag de más fragmenestá activado …

… el dispositivo NetSdescarta el paque


defensa 224

7

y defensa 225

Capítulo 7

ración

n de GPRS (servicio general de n-5000 admiten esta función.


Prevención de ataques de sobrefactude GPRS

Puede configurar los dispositivos NetScreen para evitar ataques de sobrefacturacióradio por paquetes). Solamente los dispositivos de serie NetScreen-500 y NetScree

Este capítulo contiene las siguientes secciones:

• “Descripción del ataque de sobrefacturación” en la página 226

• “Solución al ataque de sobrefacturación” en la página 228

– “Módulo de NSGP” en la página 228

– “Protocolo Gatekeeper de NetScreen” en la página 228

Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Descripción del ataque de sobrefacturación

defensa 226

s estaciones móviles (MS) sobrefacturación puede devuelve su dirección IP al ción IP, que es vulnerable e la dirección IP, sin ser te, a expensas del suscriptor

eda disponible y es reasignada vocando, por lo tanto, que se etalladamente esta situación.

Internet

Servidor

Cortafuegos de Gi


DESCRIPCIÓN DEL ATAQUE DE SOBREFACTURACIÓNAntes de explicar qué es un ataque de sobrefacturación, es importante saber que laobtienen su dirección IP de un conjunto de direcciones IP. Dicho esto, un ataque deproducirse de varias maneras. A saber, puede ocurrir cuando un suscriptor legítimoconjunto de direcciones IP. En ese momento, un atacante puede secuestrar la direcporque la sesión todavía sigue abierta. Cuando el atacante se hace con el control ddetectado e informado, el atacante puede descargar datos gratis (o más exactamenlegítimo) o enviar datos a otros suscriptores.

El ataque de sobrefacturación puede producirse también cuando una dirección IP qua otro MS. El tráfico iniciado por la MS anterior podría reenviarse a la nueva MS, profacture a la nueva MS el tráfico no solicitado. Las ilustraciones siguientes explican d

SGSN GGSNCortafuegos de GTP

MS malévola (MS1: 2.2.1.2/32)

Túnel de GTP

MS1 obtiene una dirección IP y solicita un túnel GTP al GGSN. El SGSN genera un túnel GTP por cada petición de MS1. MS1 inicia una sesión con el servidor.

PLMN 1

Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Descripción del ataque de sobrefacturación

defensa 227

Internet

SN

Servidor

Cortafuegos de Gi

Internet

SN Cortafuegos de Gi

Servidor


SGSN GGCortafuegos de GTP

MS1 solicita la eliminación del túnel de GTP y abandona la sesión.

PLMN 1Cuando el servidor comienza a enviar paquetes a MS1, MS1 envía simultáneamente una petición al SGSN para eliminar el túnel de GTP, pero deja la sesión abierta al servidor en el cortafuegos de Gi. El servidor continúa enviando paquetes al GGSN. El cortafuegos de Gi, desconociendo que el túnel de GTP fue eliminado, reenvía los paquetes al GGSN. El GGSN descarta los paquetes porque el túnel de GTP ya no existe.

SGSN GGCortafuegos de GTP

Estación móvil nueva (MS2: 2.2.1.2/32)

Nuevo túnel de GTP

PLMN 1

Una nueva estación móvil, MS2 (la víctima), envía una petición al SGSN de un túnel de GTP al GGSN y recibe una dirección IP de 2.2.1.2/32 (la misma dirección IP que utiliza MS1). El SGSN crea un nuevo túnel de GTP al GGSN.En el momento de la detección del nuevo túnel de GTP para la dirección IP de destino 2.2.1.2, el GGSN, que continuó recibiendo paquetes para la antigua sesión con la misma dirección IP de destino pero MS diferente (MS1), reenvía ahora estos paquetes a MS2.Aunque MS2 no solicitó este tráfico previsto para MS1, se le factura a MS2.

Capítulo 7 Prevención de ataques de sobrefacturación de GPRS Solución al ataque de sobrefacturación

defensa 228

es de sobrefacturación se colo de equipo selector

de ScreenOS admite el o NetScreen para que haga de cido como cortafuegos de GTP para obtener más información,

lementa en la interfaz Gi de puerta de enlace GPRS) e

se implementa entre GGSN y

d entre el cliente y el servidor ente el tipo de “sesión” de

a una zona de seguridad e

e contexto en cada dispositivo. incluir la identificación del ar sesión”, el servidor busca la

l cortafuegos Gi cuando se e borre las sesiones gos GTP de que se ha o no solicitado.


SOLUCIÓN AL ATAQUE DE SOBREFACTURACIÓNPara proteger a los suscriptores de una PLMN (red móvil terrestre pública) de ataqurequieren dos dispositivos NetScreen y la participación de los módulos NSGP (protoNetScreen) y NSGP.

Módulo de NSGPEl módulo de NSGP incluye dos componentes: el cliente y el servidor. Esta versión componente del servidor de NSGP, que significa que puede configurar un dispositivservidor, también conocido como cortafuegos Gi. El dispositivo cliente, también cono(Protocolo de tunelación GPRS), debe ejecutar el firmware ScreenOS 5.0.0 GPRS (consulte el ScreenOS 5.0.0 GPRS Reference Guide).

Hacemos referencia a un dispositivo NetScreen como cortafuegos Gi cuando se impuna red GPRS. La interfaz Gi es la conexión entre un GGSN (nodo de soporte de laInternet o las redes de destino conectadas con un PLMN.

Hacemos referencia a un dispositivo NetScreen como cortafuegos de GTP cuando SGSN (nodo de soporte de servicio GPRS) dentro del mismo PLMN.

Protocolo Gatekeeper de NetScreenNSGP utiliza el protocolo de control de transmisión (TCP) y supervisa la conectividaenviando mensajes de saludo a intervalos determinados. NSGP sólo admite actualmcontexto, que es un espacio que mantiene información de usuario-sesión, asociadoidentificado por un número único (ID de contexto).

Al configurar NSGP en los dispositivos cliente y servidor, debe utilizar el mismo ID dCuando el cliente envía una petición de “borrar sesión” al servidor, la petición debe contexto y la dirección IP del servidor. En el momento de recibir el mensaje de “borridentificación del contexto y borra la sesión de su tabla.

Configure NSGP en el cortafuegos de GTP para habilitarlo de forma que notifique aelimine un túnel de GTP y configure NSGP en el cortafuegos Gi y habilítelo para quautomáticamente siempre que el cortafuegos Gi reciba una notificación del cortafueeliminado un túnel de GTP. Al borrar las sesiones, el cortafuegos Gi detiene el tráfic


defensa 229

s ataques de sobrefacturación.

Internet

ServidorN

otifica al inación

El cortafuegos Gi está ejecutando el firmware ScreenOS 5.1.0 NSGP.


La ilustración siguiente describe cómo pueden impedir los dispositivos NetScreen lo

Después de iniciar una sesión con el servidor y cuando el servidor comienza a enviar los paquetes a MS1, MS1 envía una petición al SGSN para eliminar el túnel de GTP y abandonar la sesión. Con la eliminación del túnel, el cortafuegos de GTP notifica inmediatamente al cortafuegos Gi de la eliminación del túnel GTP. El cortafuegos Gi elimina la sesión de su tabla.Posteriormente, cuando el servidor intenta enviar paquetes al GGSN, el cortafuegos Gi los intercepta y los descarta.En consecuencia, una nueva MS, aunque sea usando la misma dirección IP que la MS anterior, no puede recibir el tráfico que no ha iniciado ni se le puede facturar por ello.

PLMN 1

SGSN GGS

El cortafuegos de GTP ncortafuegos Gi de la elim

MS1 solicita la eliminación del túnel de GTP y abandona la sesión.

El cortafuegos GTP está ejecutando el firmware ScreenOS 5.1.0 GPRS.


defensa 230

ues de

Screen para habilitar el

aga clic en Apply :

de GTP (cliente) y el cortafuegos Gi GP en una interfaz física de ethernet.

fuegos 2.1.4/24

ernet

Servidor


Ejemplo: Configuración de la función de prevención de ataqsobrefacturaciónEn este ejemplo, establece la opción Overbilling en una interfaz1 del dispositivo Netintercambio de información de ataques Overbilling y configura NSGP.

WebUI

Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y h

Zone Name: Untrust (seleccione)


Management Services: Telnet (seleccione)

Other Services: Overbilling (seleccione)

1. Para emplear esta función, debe habilitarla en una interfaz en cada uno de los dispositivos NetScreen: el cortafuegos(servidor). La interfaz para el cliente y el servidor deben tener direcciones IP distintas. Además, sólo puede habilitar NS

Cortafuegos de GTP

1.1.2.5/24CortaGi 2.

Int

PLMN 1


defensa 231

ga clic en Add y, a


Configuration > Advanced > NSGP (Overbilling): Introduzca lo siguiente, hacontinuación, haga clic en OK :

Context ID: 2

Zone: Untrust

CLI

ns500-> set interface ethernet1/2 zone Untrustns500-> set interface ethernet1/2 ip 2.2.1.4/24ns500-> set interface ethernet1/2 manage telnetns500-> set interface ethernet1/2 nsgpns500-> set nsgp context 2 type session zone untrustsave


defensa 232

A

y defensa A-I

Apéndice A

l usuariop Inspection (DI) busca una de firma completa, puede e ataque, debe colocarlo en un

jetos de ataque definidos por el ataque predefinidos con otros

ontexto como...)

sión de America Online Instant

AIM o ICQ

transfiriendo desde un interlocutor

transfiriendo a un interlocutor

Q


Contextos para firmas definidas por eEl contexto define la ubicación dentro del paquete donde el módulo NetScreen Deefirma que coincida con el patrón del objeto de ataque. Al definir un objeto de ataqueespecificar cualquier contexto de las listas siguientes. Después de definir un objeto dgrupo de objetos de ataque definido por el usuario para su uso en las directivas.

Nota: Un grupo de objetos de ataque definido por el usuario sólo puede contener obusuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos deobjetos de ataque definidos por el usuario.

Protocolo Contexto Descripción (establece el c

AIM aim-chat-room-desc

la descripción de una sala de chat en una seMessenger (AIM) o ICQ (I Seek You)

aim-chat-room-name

el nombre de una sala de chat en una sesión

aim-get-file el nombre de un archivo que un usuario está

aim-nick-name el alias de un usuario de AIM o ICQ

aim-put-file el nombre de un archivo que un usuario está

aim-screen-name el nombre en pantalla de un usuario AIM o IC

Apéndice A Contextos para firmas definidas por el usuario

defensa A-II

n o respuesta de sistema de ine en la norma RFC 1035, ification”.

la norma RFC 959, “File Transfer

er comando FTP

una sesión en un servidor FTP

ella intenta descargar

ificados a partir de un encabezado tal y como se especifica en la ol – HTTP/1.0”

petición HTTP (cuando los po proporcionan información

a línea de estado es un código de nte para comunicarle el estado de “Unauthorized” y 404 quiere decir

n HTTP

ontexto como...)


DNS dns-cname el CNAME (nombre canónico) en una peticiónombre de dominio (DNS), tal y como se def“Domain Names – Implementation and Spec

FTP ftp-command uno de los comandos FTP especificados en Protocol (FTP)”

ftp-password una contraseña de inicio de sesión de FTP

ftp-pathname un directorio o nombre de archivo en cualqui

ftp-username el nombre que un usuario introduce al iniciar

Gnutella gnutella-http-get-filename

el nombre de un archivo que un cliente Gnut

HTTP http-authorization el nombre de usuario y la contraseña descod“Authorization: Basic” en una petición HTTP,norma RFC 1945, “Hypertext Transfer Protoc

http-header-user-agent

el campo user-agent del encabezado de unausuarios visitan una página web, en este camsobre sus exploradores).

http-request una línea de petición HTTP

http-status la línea de estado en una respuesta HTTP (ltres cifras que un servidor web envía a un clieuna conexión. Por ejemplo, 401 quiere decir “Not found”).

http-text-html el texto, o los datos HTML, de una transacció



defensa A-III

una petición HTTP tal y como

cada a partir de una cadena HTTP

común (CGI) descodificada en la

TE de Internet Mail Access de mecanismo de autenticación plos de ello son KERBEROS_V4,

eric Security Service Application

onsulte las normas RFCs 1730, 4”, y RFC 1731, “IMAP4

to sin formato en un comando

SELECT de IMAP

de IMAP

n de mensajería instantánea de

tá descargando desde un

enviando a un interlocutor

e un usuario de la mensajería

ontexto como...)


http-url el localizador de recurso uniforme (URL) de aparece en la secuencia de datos

http-url-parsed una cadena de texto “normalizada” descodifiunicode que comprende la URL utilizada en

http-url-variable-parsed

una variable de interfaz de puerta de enlace URL de una petición HTTP-GET

IMAP imap-authenticate un argumento en un comando AUTHENTICAProtocol (IMAP). El argumento indica el tipo que el cliente IMAP propone al servidor. EjemGSSAPI (consulte la norma RFC 1508, “GenProgram Interface”) y SKEY.Para obtener información acerca de IMAP, c“Internet Message Access Protocol - VersionAuthentication Mechanisms”.

imap-login el nombre de usuario o la contraseña con texLOGIN de IMAP

imap-mailbox la cadena de texto del buzón en un comando

imap-user el nombre de usuario en un comando LOGIN

MSN Messenger

msn-display-name el nombre visible de un usuario en una sesióMicrosoft Network (MSN)

msn-get-file el nombre de un archivo que un cliente se esinterlocutor

msn-put-file el nombre de un archivo que un cliente está

msn-sign-in-name el nombre en pantalla (nombre de usuario) dinstantánea MSN



defensa A-IV

fice Protocol, versión 3 (POP3) onsulte la norma RFC 1939, “Post

” (remitente) de un correo

abezado de un correo electrónico

t:” (asunto) de un correo

estinatario) de un correo

hivo adjunto Multipurpose Internet

Blocks (SMB) en una petición B

NECT_ANDX de una sesión SMB

tición TREE_CONNECT_ANDX

PY de una sesión SMB

ETE de una sesión SMB

_CREATE_ANDX y OPEN_ANDX

ontexto como...)


POP3 pop3-auth el comando AUTH en una sesión de Post OfPara obtener información acerca de POP3, cOffice Protocol – Version 3”

pop3-header-from la cadena de texto en el encabezado “From:electrónico en una transacción POP3

pop3-header-line la cadena de texto de cualquier línea de encen una transacción POP3

pop3-header-subject

la cadena de texto en el encabezado “Subjecelectrónico en una transacción POP3

pop3-header-to la cadena de texto en el encabezado “To:” (delectrónico en una transacción POP3

pop3-mime-content-filename

el nombre del archivo de contenido de un arcMail Extensions (MIME) en una sesión POP3

pop3-user el nombre de usuario en una sesión POP3

SMB smb-account-name el nombre de una cuenta de Server MessageSESSION_SETUP_ANDX de una sesión SM

smb-connect-path la ruta de conexión en la petición TREE_CON

smb-connect-service

el nombre del servicio de conexión en una pede una sesión SMB

smb-copy-filename el nombre de un archivo en una petición CO

smb-delete-filename

el nombre de un archivo en una petición DEL

smb-open-filename

el nombre de un archivo en las peticiones NTde una sesión SMB



defensa A-V

s “MAIL FROM” de una sesión omo se describe en la norma RFC

(remitente) de una sesión SMTP

abezado de una sesión SMTP

t:” (asunto) de una sesión SMTP

estinatario) de una sesión SMTP

hivo adjunto Multipurpose Internet

“RCPT TO” de una sesión SMTP

datos TCP reensamblada y

con el usuario principal de un !

na sala de chat de mensajería

instantánea de Yahoo!

nea de Yahoo!

ontexto como...)


SMTP smtp-from la cadena de texto en una línea de comandoSimple Mail Transfer Protocol (SMTP), tal y c2821, “Simple Mail Transfer Protocol”

smtp-header-from la cadena de texto en el encabezado “From:”

smtp-header-line la cadena de texto en cualquier línea de enc

smtp-header-subject

la cadena de texto en el encabezado “Subjec

smtp-header-to la cadena de texto en el encabezado “To:” (d

smtp-mime-content-filename

el nombre del archivo de contenido de un arcMail Extensions (MIME) en una sesión SMTP

smtp-rcpt la cadena de texto en la línea de comandos

– stream256 los primeros 256 bytes de una secuencia de normalizada

Yahoo! Messenger

ymsg-alias el nombre identificativo alternativo asociado usuario de mensajería instantánea de Yahoo

ymsg-chatroom-message

el texto de los mensajes intercambiados en uinstantánea de Yahoo!

ymsg-chatroom-name

el nombre de una sala de chat de mensajería

ymsg-nickname el alias de un usuario de mensajería instantá



defensa A-VI

terlocutor de mensajería e descargar dicho archivo

terlocutor de mensajería scargar dicho archivo

ontexto como...)


Yahoo! Messenger

(cont)

ymsg-p2p-get-filename-url

la ubicación de un archivo en un equipo de ininstantánea de Yahoo! desde la cual se pued

ymsg-p2p-put-filename-url

la ubicación de un archivo en un equipo de ininstantánea de Yahoo! a la cual se puede de


Índice

ensa IX-I

datos de objetos de ataque 141–148gravedad 159 Ines regulares 188–190mpletas 156 secuencias 157rsonalizadas 188–194e objetos de ataque 158r objetos de ataque 163 del objeto de ataque 200e ataque 138e ataque personalizados 187e grupos de objetos de ataque 176

personalizados 179–186eral 137activar objetos de ataque 163e serviciooSn, análisis antivirus 106

140e URL 131entral 24, 139

specífico del sistema operativo 73–78os 42–51

ón de la tabla de sesiones 25, 422ute 28

to agresivo 46–49to de conexión en tres fases 528

aquesegulares 188–190

ntenidos 79–134quetes dinámico 3L 111, 126–134n en el nivel de dispositivo 131n de perfiles a directivas 120n en el nivel de directivas 13125s URL 115ento 132el servidor 131 112

Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y def

ÍndiceAacciones de ataque 164–175

close 164close client 164close server 164drop 164drop packet 164ignore 165none 165

AIM 152ALG 82America Online Instant Messaging

véase AIM 152análisis antivirus 86–110

correo web HTTP 91descompresión 106FTP 87goteo HTTP 109HTTP 89HTTP “keep-alive” 108IMAP 92MIME 90modo de fallo 108POP3 92recursos de AV por cliente 107SMTP 94suscripción 96

análisis de puertos 10análisis FIN 22anomalías del protocolo 157

ALGs 154aplicaciones de mensajería inmediata 152aplicaciones P2P 153configuración de parámetros 198protocolos admitidos 151–155protocolos de red básicos 151

applets Java, bloquear 208archivos exe, bloquear 208archivos zip, bloquear 208ataque de sobrefacturación

descripción 226solución 228

ataque “Teardrop” 75ataque terrestre 71ataque WinNuke 77ataques

ataque terrestre 71direcciones MAC desconocidas 58etapas 2fragmentos de paquetes IP 220fragmentos ICMP 212

fragmentos SYN 222–223inundación de la tabla de sesiones 25, 42inundación ICMP 67inundación SYN 52–58inundación UDP 69objetivos comunes 1opciones de detección y defensa 3–5paquetes ICMP grandes 214“Ping of Death” 73protocolos desconocidos 218“Teardrop” 75WinNuke 77

AV, análisisvéase análisis antivirus

Bbarrido de direcciones 8base de datos de objetos de ataque 141–148

actualización automática 141, 144actualización inmediata 141, 142actualización manual 142, 147cambiar la URL predeterminada 147notificación automática y actualización

manual 142, 145

CCLI

convenciones viicloque de mensajes de servidor

véase SMBcomprobación de SYN 22, 23–26

agujero de reconocimiento 25enrutamiento asimétrico 24interrupción de sesión 24inundación de la tabla de sesiones 25

conjuntos de caracteres compatibles con ScreenOS xi

controles ActiveX, bloqueo 207convenciones

CLI viiilustración xnombres xiWebUI viii

DDDoS 41Deep Inspection 159–194

acciones de ataque 164–175anomalías del protocolo 157

base de cambiar contextoexpresiofirmas cofirmas defirmas pegrupos dinhabilitanegaciónobjetos dobjetos dregistro dserviciosvista genvolver a

denegación d véase D

descompresiódirectivas

contextofiltrado dsección c

DoS 41–78ataque ecortafueginundacired 52–7

drop-no-rpf-ro

Eenvejecimienestablecimienevasión 22–3exploits

véase atexpresiones r

Ffiltrado de cofiltrado de pafiltrado de UR

activacióaplicacióaplicaciócaché 1categoríaenrutamiestado dintegrada

Índice

efensa IX-II

e ruta de origen estricta 14, 36–38 12–15

os 12–14eadas incorrectamente 216ión de ruta 13, 15ecuencia 14, 15

de hora 14, 15 origen 36 origen abierta 13, 36–38 origen estricta 14, 36–38

dad 13, 15

ent 1533ey 153ack 153lla 153 153key 154 15454 154ath” 73 de ataques de sobrefacturaciónración 230

de ataques de sobrefacturación de 225–231contra URL maliciosas 81–85frente a ataquese directivas 5e zona de seguridad 5desconocidos 218nlace en la capa de aplicaciónALGntoP2P

s abiertos 10

as operativos 16–20ento 7–38s de puertos 10s FIN 22 de direcciones 8YN y FIN activados 16es IP 12te TCP sin flags 20je de fragmentos 81–85

de objetos de ataque 176

Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y d

introducir un contexto 113mensaje de URL bloqueada de NetScreen 130nombre del servidor SurfControl 129nombre del servidor Websense 129perfiles 117puerto del servidor SurfControl 129puerto del servidor Websense 129reenviar 126servidores CPA de SurfControl 112servidores por vsys 128servidores SurfControl 124SurfControl SCFP 128tiempo de espera de comunicaciones

communication timeout 129tipo de mensaje de URL bloqueada 130

FIN sin flag ACK 18firmas completas 156

definición 156firmas de secuencias 157flags SYN y FIN activados 16Fragmentos SYN 222–223

Ggrupos de objetos de ataque 158

aplicado en directivas 150cambiar gravedad 159niveles de gravedad 158registro 176URLs de ayuda 155

HHTTP

bloqueo de componentes 207–209goteo 109método “keep-alive” 108tiempo de espera de la sesión 48

IICMP

fragmentos 212paquetes grandes 214

ilustraciónconvenciones x

inspección de estado 3inundación de la tabla de sesiones 25, 42inundación del proxy SYN-ACK-ACK 50inundación ICMP 67inundación SYN 52–58

ataque 52descartar las direcciones MAC

desconocidas 58tamaño de la cola 58tiempo de espera 58

umbral 53umbral de alarma 56umbral de ataque 56umbral de destino 57umbral de origen 57

inundación UDP 69IP

fragmentos de paquetes 220

Llímites de sesiones 42–46

de destino 43, 46según sus orígenes 42, 45

Llamada a procedimientos remotos de Microsoftvéase MS-RPC 154

Mmensajería inmediata 152

AIM 152MSN Messenger 152Yahoo! Messenger 152

Microsoft Network Instant MessengerConsulte MSN Messenger

MIME, análisis AV 90modo de fallo 108modo transparente

descartar las direcciones MAC desconocidas 58

MSN Messenger 152MS-RPC 154

Nnegación, Deep Inspection 200NetBIOS 154nombres

convenciones xi

Oobjetos AV

tiempo de espera 103objetos de ataque 138, 149–157

anomalías del protocolo 157, 198desactivar 163firmas completas 156firmas de secuencias 157firmas de secuencias TCP 195negación 200volver a activar 163

opción de seguridad IP 13, 15opción IP de grabación de ruta 13, 15opción IP de ID de secuencia 14, 15opción IP de marca de hora 14, 15opción IP de ruta de origen abierta 13, 36–38

opción IP dopciones IP

atributformatgrabacID de smarcaruta deruta deruta deseguri

PP2P 153

BitTorrDC 15eDonkFastTrGnuteKaZaaMLdonSkypeSMB 1WinMX

“Ping of Deprevención

configuprevención

GPRSprotección protección

nivel dnivel d

protocolos puerta de e

véase punto a pu

véase

Rrastreo

puertored 8sistem

reconocimianálisianálisibarridoflags Sopcionpaque

reensamblaregistro

grupos

Índice

defensa IX-III

-no-rpf-route 28rol 112, 126

s de secuencias 195ete sin flags 20

po de espera de la sesión 47e espera de la sesiónP 48 47 48

po de espera de la sesión 48ferior 47uperior 47

essenger 152

gente 41, 43

Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y

RFCs1035, “Domain Names–Implementation and

Specification” II1038, “Revised IP Security Option” 131508, “Generic Security Service Application

Program Interface” III1730, “Internet Message Access Protocol -

Version 4” III1731, “IMAP4 Authentication Mechanisms” III1939, “Post Office Protocol –- Version 3” IV1945, “Hypertext Transfer Protocol–

HTTP/1.0” II2821, “Simple Mail Transfer Protocol” V791, “Internet Protocol” 12, 13, 73, 216792, “Internet Control Message Protocol” 73793, “Transmission Control Protocol” 18959, “File Transfer Protocol (FTP)” II

SSCREEN

análisis de puertos 10ataque terrestre 71ataque WinNuke 77barrido de direcciones 8descartar las direcciones MAC

desconocidas 58FIN sin ACK 22FIN sin flag ACK, descarte 18

flags SYN y FIN activados 16fragmentos de paquetes IP, bloquear 220fragmentos ICMP, bloquear 212fragmentos SYN, detectar 222–223inundación del proxy SYN-ACK-ACK 50inundación ICMP 67inundación SYN 52–58inundación UDP 69opción IP de ruta de origen abierta, detectar 38opción IP de ruta de origen estricta,

detectar 38opción IP de ruta de origen, denegar 38opciones IP 12opciones IP incorrectas, descartar 216paquete TCP sin flags, detectar 20paquetes ICMP grandes, bloquear 214“Ping of Death” 73protocolos desconocidos, descartar 218suplantación de IP 27–35“Teardrop” 75zonas VLAN y MGT 3

serviciospersonalizados 179

SMBNetBIOS 154

suplantación de IP 27–35capa 2 28, 34capa 3 27, 30

dropSurfCont

TTCP

firmapaqutiem

tiempo dHTTTCPUDP

UUDP

tiemumbral inumbral s

YYahoo! M

Zzombie, a

Índice

defensa IX-IV
Juniper Networks NetScreen conceptos y ejemplos – Volume 4: Mecanismos de detección de ataques y

Ssg5 Manual

Documents

netscreen logo

netscreen screenos

netscreen technologies

netscreen representative

netscreenremote vpn

netscreenglobal pro

harmful interference

juniper networks logo