Your SlideShare is downloading. ×
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
Número de pieza: 53...
ii
Copyright Notice
Copyright © 2007 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks...
Contenido iii
Contenido
Acerca de este volumen ix
Convenciones del documento ................................................
iv Contenido
Manual de referencia de ScreenOS: Conceptos y ejemplos
Inundaciones ICMP........................................
Contenido
Contenido v
Filtrado de Web .......................................................................................
vi Contenido
Manual de referencia de ScreenOS: Conceptos y ejemplos
Parámetros configurables de anomalías en protocolos .....
Contenido
Contenido vii
Establecimiento de las opciones de registro....................................203
Establecimiento...
viii Contenido
Manual de referencia de ScreenOS: Conceptos y ejemplos
Actualización de grupos dinámicos .....................
ix
Acerca de este volumen
En el Volumen 4: Detección ataques y mecanismos de defensa se describen las
opciones de segurida...
Manual de referencia de ScreenOS: Conceptos y ejemplos
x Convenciones del documento
Capítulo 6, “Detección y prevención de...
Convenciones del documento xi
Acerca de este volumen
El árbol de navegación también proporciona una página de configuració...
Manual de referencia de ScreenOS: Conceptos y ejemplos
xii Convenciones del documento
Conjuntos de caracteres de un byte (...
Convenciones del documento xiii
Acerca de este volumen
Convenciones para las ilustraciones
La siguiente figura muestra el ...
Manual de referencia de ScreenOS: Conceptos y ejemplos
xiv Asistencia y documentación técnica
Asistencia y documentación t...
1
Capítulo 1
Protección de una red
Puede haber numerosos motivos para entrar a una red protegida. La siguiente lista
conti...
Manual de referencia de ScreenOS: Conceptos y ejemplos
2 Etapas de un ataque
Este capítulo proporciona una vista general d...
Mecanismos de detección y defensa 3
Capítulo 1: Protección de una red
Juniper Networks ofrece diversos métodos de detecció...
Manual de referencia de ScreenOS: Conceptos y ejemplos
4 Mecanismos de detección y defensa
Sondeos del sistema operativo
T...
Supervisión de vulnerabilidades 5
Capítulo 1: Protección de una red
Protocolos desconocidos
Fragmentos de paquetes IP
Frag...
Manual de referencia de ScreenOS: Conceptos y ejemplos
6 Supervisión de vulnerabilidades
WebUI
Screening > Screen (Zone: U...
7
Capítulo 2
Bloqueo de reconocimiento
Los hackers pueden planificar mejor sus ataques si antes conocen el diseño de la
re...
Manual de referencia de ScreenOS: Conceptos y ejemplos
8 Barrido de direcciones IP
Barrido de direcciones IP
Se produce un...
Barrida de puertos 9
Capítulo 2: Bloqueo de reconocimiento
CLI
set zone zona screen port-scan threshold número
set zone zo...
Manual de referencia de ScreenOS: Conceptos y ejemplos
10 Reconocimiento de red mediante opciones IP
Para bloquear la barr...
Reconocimiento de red mediante opciones IP 11
Capítulo 2: Bloqueo de reconocimiento
Seguridad 0 2 11 bits Ofrece un medio ...
Manual de referencia de ScreenOS: Conceptos y ejemplos
12 Sondeos del sistema operativo
Las siguientes opciones SCREEN det...
Sondeos del sistema operativo 13
Capítulo 2: Bloqueo de reconocimiento
indicadores SYN y FIN activados
Los indicadores de ...
Manual de referencia de ScreenOS: Conceptos y ejemplos
14 Sondeos del sistema operativo
Indicador FIN sin indicador ACK
La...
Técnicas de evasión 15
Capítulo 2: Bloqueo de reconocimiento
Encabezado TCP sin indicadores activados
Un encabezado de seg...
Manual de referencia de ScreenOS: Conceptos y ejemplos
16 Técnicas de evasión
Análisis FIN
Un análisis FIN envía segmentos...
Técnicas de evasión 17
Capítulo 2: Bloqueo de reconocimiento
Figura 8: Comprobación de indicador SYN
Cuando el dispositivo...
Manual de referencia de ScreenOS: Conceptos y ejemplos
18 Técnicas de evasión
La opción de no comprobar el indicador SYN e...
Técnicas de evasión 19
Capítulo 2: Bloqueo de reconocimiento
Al analizar las respuestas o la ausencia de éstas, un recopil...
Manual de referencia de ScreenOS: Conceptos y ejemplos
20 Técnicas de evasión
Simulación de IP
Un método para intentar acc...
Técnicas de evasión 21
Capítulo 2: Bloqueo de reconocimiento
Capa 2: si las interfaces del dispositivo de seguridad funcio...
Manual de referencia de ScreenOS: Conceptos y ejemplos
22 Técnicas de evasión
Ejemplo: Protección contra simulación de IP ...
Técnicas de evasión 23
Capítulo 2: Bloqueo de reconocimiento
WebUI
1. Interfaces
Network > Interfaces > Edit (para etherne...
Manual de referencia de ScreenOS: Conceptos y ejemplos
24 Técnicas de evasión
3. Protección contra simulación de IP
Screen...
Técnicas de evasión 25
Capítulo 2: Bloqueo de reconocimiento
WebUI
1. Direcciones
Policy > Policy Elements > Addresses > L...
Manual de referencia de ScreenOS: Conceptos y ejemplos
26 Técnicas de evasión
Opciones IP de ruta de origen
El enrutamient...
Técnicas de evasión 27
Capítulo 2: Bloqueo de reconocimiento
Figura 13: Opción IP de ruta de origen abierta para un engaño...
Manual de referencia de ScreenOS: Conceptos y ejemplos
28 Técnicas de evasión
Para bloquear paquetes con la opción IP de r...
29
Capítulo 3
Defensas contra los ataques de
denegación de servicio
La intención de un ataque de denegación de servicio (D...
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Juniper denegacion de servicio (DoS) (y)
Upcoming SlideShare
Loading in...5
×

Juniper denegacion de servicio (DoS) (y)

1,164

Published on

Manual de DoS para equipos Juniper

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,164
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
41
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Juniper denegacion de servicio (DoS) (y)"

  1. 1. Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net Número de pieza: 530-017770-01-SP, Revisión 02 Conceptos y ejemplos Manual de referencia de ScreenOS Volumen 4: Detección ataques y mecanismos de defensa Versión 6.0.0, Rev. 02
  2. 2. ii Copyright Notice Copyright © 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. FCC Statement The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device. Disclaimer THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
  3. 3. Contenido iii Contenido Acerca de este volumen ix Convenciones del documento ..........................................................................x Convenciones de la interfaz de usuario web..............................................x Convenciones de interfaz de línea de comandos ......................................xi Convenciones de nomenclatura y conjuntos de caracteres.......................xi Convenciones para las ilustraciones ........................................................ xii Asistencia y documentación técnica.............................................................. xiii Capítulo 1 Protección de una red 1 Etapas de un ataque.........................................................................................2 Mecanismos de detección y defensa ................................................................2 Supervisión de vulnerabilidades.......................................................................5 Ejemplo: Supervisión de ataques desde la zona Untrust ............................5 Capítulo 2 Bloqueo de reconocimiento 7 Barrido de direcciones IP .................................................................................8 Barrida de puertos ...........................................................................................9 Reconocimiento de red mediante opciones IP ...............................................10 Sondeos del sistema operativo.......................................................................12 indicadores SYN y FIN activados .............................................................13 Indicador FIN sin indicador ACK..............................................................14 Encabezado TCP sin indicadores activados..............................................15 Técnicas de evasión .......................................................................................15 Análisis FIN .............................................................................................16 Indicadores no SYN .................................................................................16 Simulación de IP......................................................................................20 Ejemplo: Protección contra simulación de IP en la capa 3.................22 Ejemplo: Protección contra simulación de IP en la capa 2.................24 Opciones IP de ruta de origen .................................................................26 Capítulo 3 Defensas contra los ataques de denegación de servicio 29 Ataques DoS contra el cortafuegos.................................................................30 Inundaciones de la tabla de sesiones.......................................................30 Límites a la cantidad de sesiones según sus orígenes y destinos .......30 Ejemplo: Limitación de sesiones según su origen..............................32 Ejemplo: Limitación de sesiones según su destino ............................32 Expiración dinámica .........................................................................33 Ejemplo: Expiración dinámica de sesiones........................................34 Inundaciones de SYN-ACK-ACK a través de un servidor proxy ................35 Ataques DoS contra la red..............................................................................37 Inundaciones SYN ...................................................................................37 Cookie SYN..............................................................................................47
  4. 4. iv Contenido Manual de referencia de ScreenOS: Conceptos y ejemplos Inundaciones ICMP..................................................................................49 Inundaciones UDP...................................................................................51 Ataque terrestre.......................................................................................52 Ataques de DoS específicos de cada sistema operativo ..................................53 Ping of Death...........................................................................................53 Ataque Teardrop......................................................................................54 WinNuke .................................................................................................55 Capítulo 4 Supervisión y filtrado de contenidos 57 Reensamblaje de fragmentos.........................................................................58 Protección contra URL maliciosas............................................................58 Puerta de enlace en la capa de aplicación................................................59 Ejemplo: Bloquear URL maliciosas en paquetes fragmentados..........60 Análisis antivirus............................................................................................62 Análisis AV externo .................................................................................62 Servidores de análisis ICAP de equilibrio de carga ............................64 Análisis AV interno ..................................................................................64 Análisis AV del tráfico de IM....................................................................66 Clientes de IM ...................................................................................66 Servidor de IM ..................................................................................67 Protocolos de IM ...............................................................................67 Aspectos de seguridad de la mensajería instantánea.........................68 Asuntos de seguridad de IM ..............................................................68 Análisis de mensajes de chat.............................................................69 Análisis de la transferencia de archivos.............................................69 Resultados del análisis AV .......................................................................70 Análisis AV basado en directivas..............................................................71 Análisis de protocolos de aplicación ........................................................72 Aálisis del tráfico de FTP ...................................................................73 Análisis del tráfico de HTTP ..............................................................74 Actualización de los archivos de patrones AV para el analizador incorporado ......................................................................................81 Suscripción al servicio de firma AV ...................................................81 Ajustes globales del analizador de AV......................................................84 Asignación de recursos de AV ...........................................................84 Comportamiento en modo de fallo: ..................................................85 Tamaño máximo del contenido y número máximo de mensajes (sólo AV interno).........................................................................85 HTTP Keep-Alive ...............................................................................86 Goteo HTTP (únicamente AV interno) ...............................................87 Perfiles de AV ..........................................................................................88 Asignación de un perfil AV a una directiva de cortafuegos ................89 Inicio de un perfil de AV para AV interno..........................................90 Ejemplo: Análisis para todo tipo de tráfico (AV interno) ....................90 Filtrado anti spam..........................................................................................95 Listas blancas y listas negras ...................................................................96 Configuración básica ...............................................................................97 Filtrado del tráfico spam ...................................................................97 Descarte de los mensajes de spam....................................................97 Definición de una lista negra ...................................................................98 Definición de una lista blanca..................................................................98 Definición de una acción predeterminada ...............................................99 Habilitación de un servidor con lista de bloqueo de spam .......................99 Prueba del sistema antispam...................................................................99
  5. 5. Contenido Contenido v Filtrado de Web ...........................................................................................100 Uso de la CLI para iniciar los modos de filtrado de Web........................100 Filtrado de Web integrado .....................................................................101 Servidores de SurfControl ...............................................................102 Caché de filtrado de Web................................................................103 Configuración del filtrado de Web integrado...................................103 Ejemplo: Filtrado de Web integrado................................................109 Redireccionamiento del filtrado de Web................................................110 Admisión del sistema virtual ...........................................................112 Configuración de la redirección de filtrado de Web.........................113 Ejemplo: Redirigir el filtrado de Web ..............................................116 Capítulo 5 Deep Inspection 119 Vista general ................................................................................................120 Servidor de la base de datos de objetos de ataque .......................................124 Paquetes de firmas predefinidas............................................................124 Actualización de paquetes de firmas......................................................125 Antes de empezar a actualizar los objetos de ataque.......................126 Actualización inmediata..................................................................127 Actualización automática ................................................................127 Notificación automática y actualización inmediata..........................129 Actualización manual......................................................................130 Objetos de ataque y grupos..........................................................................132 Protocolos admitidos.............................................................................133 Firmas completas ..................................................................................137 Firmas de secuencias TCP .....................................................................138 Anomalías en el protocolo .....................................................................138 Grupos de objetos de ataque..................................................................139 Cambio de los niveles de gravedad .................................................140 Ejemplo: Deep Inspection para P2P ................................................141 Desactivación de objetos de ataque.......................................................142 Acciones de ataque ......................................................................................143 Ejemplo: Acciones de ataque – Close Server, Close, Close Client.....145 Acciones de ataques de fuerza bruta .....................................................151 Objetos de ataques de fuerza bruta.................................................152 Destinos de ataques de fuerza bruta ...............................................152 Tiempo de espera de ataques de fuerza bruta.................................153 Ejemplo 1........................................................................................153 Ejemplo 2........................................................................................154 Ejemplo 3........................................................................................154 Registro de ataques......................................................................................154 Ejemplo: Desactivación del registro por grupo de ataque................154 Asignación de servicios personalizados a aplicaciones .................................156 Ejemplo: Asignación de una aplicación a un servicio personalizado ...........................................................................157 Ejemplo: Asignación de aplicación a servicio para ataques HTTP....159 Objetos de ataque y grupos personalizados .................................................160 Objetos de ataque de firma completa que define el usuario ..................160 Expresiones regulares .....................................................................161 Ejemplo: Objetos de ataque de firma completa que define un usuario .....................................................................................163 Objetos de ataque de la firma de la secuencia de TCP...........................165 Ejemplo: Objeto de ataque de firma de secuencia que define el usuario .....................................................................................166
  6. 6. vi Contenido Manual de referencia de ScreenOS: Conceptos y ejemplos Parámetros configurables de anomalías en protocolos ..........................167 Ejemplo: Modificación de parámetros.............................................167 Negación......................................................................................................168 Ejemplo: Negación de objeto de ataque ..........................................168 Bloqueo granular de los componentes de HTTP ...........................................173 Controles ActiveX ..................................................................................173 Applets de Java......................................................................................174 Archivos EXE.........................................................................................174 Archivos ZIP ..........................................................................................174 Capítulo 6 Detección y prevención de intrusiones 175 Dispositivos de seguridad con capacidad para IDP.......................................176 Flujo de tráfico en un dispositivo con capacidad de IDP...............................176 Configuración de la detección y prevención de intrusiones..........................177 Tareas de configuración previa..............................................................178 Ejemplo 1: Configuración básica de IDP ................................................178 Ejemplo 2: Configuración de IDP para cambio en caso de fallo activo, pasivo .............................................................................................181 Ejemplo 3: Configuración de IDP para cambio en caso de fallo activo, activo..............................................................................................183 Configuración de directivas de seguridad.....................................................185 Acerca de las directivas de seguridad ....................................................186 Administración de las directivas de seguridad .......................................186 Instalación de las directivas de seguridad ..............................................186 Uso de las bases de normas de IDP..............................................................187 Administración de las bases de normas de IDP según roles...................188 Configuración de objetos para normas de IDP.......................................188 Uso de las plantillas de directivas de seguridad .....................................189 Habilitación de IDP en las normas de cortafuegos .......................................189 Habilitación de IDP................................................................................190 Especificación del modo en línea o tap en línea ....................................190 Configuración de las normas de IDP ............................................................191 Adición de la base de normas de IDP ....................................................192 Tráfico coincidente................................................................................193 Zonas de origen y de destino ..........................................................194 Objetos de dirección de origen y de destino....................................194 Ejemplo: Establecimiento de origen y de destino............................194 Ejemplo: Establecimiento de múltiples orígenes y destinos.............195 Servicios .........................................................................................195 Ejemplo: Establecimiento de los servicios predeterminados ...........196 Ejemplo: Establecimiento de servicios específicos...........................196 Ejemplo: Establecimiento de servicios no estándar.........................196 Normas definitivas..........................................................................198 Ejemplo: Establecimiento de normas definitivas.............................198 Definición de acciones...........................................................................199 Establecimiento de objetos de ataque....................................................200 Adición de objetos de ataque individualmente................................201 Adición de objetos de ataque por categoría.....................................201 Ejemplo: Adición de objetos de ataque por servicio ........................201 Adición de objetos de ataque por sistema operativo .......................201 Adición de objetos de ataque por gravedad.....................................202 Establecimiento de la acción de IP ........................................................202 Selección de una acción de IP .........................................................203 Selección de una opción de bloqueo ...............................................203
  7. 7. Contenido Contenido vii Establecimiento de las opciones de registro....................................203 Establecimiento de las opciones de tiempo de espera.....................203 Establecimiento de la notificación .........................................................204 Establecimiento de los registros......................................................204 Establecimiento de una alerta .........................................................204 Paquetes de registro........................................................................204 Establecimiento de la gravedad .............................................................205 Establecimiento de objetivos .................................................................205 Introducción de comentarios.................................................................205 Configuración de las normas de exclusión ...................................................205 Adición de la base de normas de exclusión ...........................................206 Definición de una coincidencia..............................................................207 Zonas de origen y de destino ..........................................................207 Objetos de dirección de origen y de destino....................................208 Ejemplo: Exclusión de un par origen/destino ..................................208 Establecimiento de los objetos de ataque ..............................................208 Ejemplo: Exclusión de objetos de ataque específicos ......................208 Establecimiento de objetivos .................................................................209 Introducción de comentarios.................................................................209 Creación de una norma de exclusión desde el visualizador de registros..........................................................................................209 Configuración de las normas de puerta de atrás ..........................................210 Adición de la base de normas de puerta de atrás...................................211 Definición de una coincidencia..............................................................212 Zonas de origen y de destino ..........................................................212 Objetos de dirección de origen y de destino....................................212 Servicios .........................................................................................213 Establecimiento del funcionamiento......................................................213 Establecimiento de acciones..................................................................213 Establecimiento de la notificación .........................................................214 Establecimiento de los registros......................................................214 Establecimiento de una alerta .........................................................214 Paquetes de registro........................................................................214 Establecimiento de la gravedad .............................................................215 Establecimiento de objetivos .................................................................215 Introducción de comentarios.................................................................215 Configuración de los objetos de ataque de IDP ............................................215 Acerca de los tipos de objeto de ataque de IDP .....................................216 Objetos de ataque de firma.............................................................216 Objetos de ataque de anomalías de protocolo.................................216 Objetos de ataque compuestos .......................................................216 Visualización de grupos y objetos de ataque de IDP predefinidos..........217 Visualización de ataques predefinidos.............................................217 Visualización de grupos predefinidos ..............................................218 Creación de objetos de ataque IDP personalizados................................219 Creación de un objeto de ataque de firma.......................................220 Creación de un Ataque de anomalía de protocolo ...........................226 Creación de un ataque compuesto ..................................................227 Edición de un objeto de ataque personalizado ................................230 Eliminación de un objeto de ataque personalizado .........................230 Creación de objetos de ataque IDP personalizados................................230 Configuración de grupos estáticos...................................................230 Configuración de grupos dinámicos ................................................232 Ejemplo: Creación de un grupo dinámico........................................233
  8. 8. viii Contenido Manual de referencia de ScreenOS: Conceptos y ejemplos Actualización de grupos dinámicos .................................................234 Edición de un grupo de ataques personalizado ...............................235 Eliminación de un grupo de ataques personalizado.........................235 Configuración del dispositivo como un dispositivo IDP independiente.........235 Habilitación de IDP................................................................................235 Ejemplo: Configuración de una norma de cortafuegos para IDP independiente ..........................................................................236 Configuración de la administración basada en funciones ......................237 Ejemplo: Configuración de un administrador sólo de IDP ...............237 Administración de IDP.................................................................................238 Acerca de las actualizaciones de la base de datos de ataques ................238 Descarga de las actualizaciones de la base de datos de ataques ............239 Uso de los objetos de ataque actualizados.......................................239 Actualización del motor IDP............................................................239 Visualización de los registros IDP ..........................................................241 Capítulo 7 Atributos de los paquetes sospechosos 243 Fragmentos ICMP ........................................................................................243 Paquetes ICMP grandes................................................................................244 Opciones IP incorrectas ...............................................................................245 Protocolos desconocidos..............................................................................246 Fragmentos de paquetes IP..........................................................................247 Fragmentos SYN ..........................................................................................248 Apéndice A Contextos para las firmas definidas por el usuario A-I Índice ........................................................................................................................IX-I
  9. 9. ix Acerca de este volumen En el Volumen 4: Detección ataques y mecanismos de defensa se describen las opciones de seguridad de Juniper Networks disponibles en ScreenOS. Puede habilitar varias de estas opciones a nivel de zona de seguridad. Estas opciones se aplican al tráfico que llega al dispositivo de seguridad de Juniper Networks a través de cualquier interfaz enlazada a una zona para la cual se hayan activado dichas opciones. Estas opciones ofrecen protección contra análisis de puertos y direcciones IP, ataques de denegación de servicio (DoS) y cualquier otro tipo de actividad maliciosa. Es posible aplicar otras opciones de seguridad de red, como el filtrado de Web, la comprobación antivirus y la detección y prevención de intrusiones (IDP), a nivel de directivas. Estas opciones sólo se aplican al tráfico que se encuentre bajo la jurisdicción de las directivas en las que se activan. Este volumen contiene las siguientes secciones: Capítulo 1, “Protección de una red,” donde se resumen las etapas básicas de un ataque y las opciones de cortafuegos disponibles para combatir al atacante en cada etapa. Capítulo 2, “Bloqueo de reconocimiento,” donde se describen las opciones disponibles para bloquear el barrido de direcciones IP, los análisis de puertos y los intentos de descubrir el tipo de sistema operativo (OS) del sistema objetivo del ataque. Capítulo 3, “Defensas contra los ataques de denegación de servicio,” donde se explican los ataques DoS específicos de cada sistema operativo, red o cortafuegos, y cómo ScreenOS amortigua dichos ataques. Capítulo 4, “Supervisión y filtrado de contenidos,” donde se describe cómo proteger a los usuarios de los localizadores uniformes de recursos (URL) maliciosos y cómo configurar el dispositivo de seguridad Juniper Networks para trabajar con productos de otros fabricantes y así proporcionar análisis antivirus, antispam y filtrado de web. Capítulo 5, “Deep Inspection,” donde se describe cómo configurar el dispositivo de seguridad de Juniper Networks para obtener actualizaciones de objetos de ataque IDP, cómo crear objetos de ataque y grupos de objetos de ataque definidos por el usuario, y cómo aplicar IDP a nivel de directivas. NOTA: Las directivas sólo se presentan en este volumen de forma periférica, ya que aquí se describen las opciones de seguridad de red que se pueden activar a nivel de directivas. Para examinar las directivas de forma completa, consulte “Directivas” en la página 2-161.
  10. 10. Manual de referencia de ScreenOS: Conceptos y ejemplos x Convenciones del documento Capítulo 6, “Detección y prevención de intrusiones,” donde se describe la tecnología de detección y prevención de intrusiones (IDP) de Juniper Networks, que detecta y luego detiene los ataques cuando se despliega en línea con su red. El capítulo describe cómo aplicar IDP a nivel de directivas para descartar paquetes o conexiones maliciosas antes de que los ataques puedan llegar a su red. Capítulo 7, “Atributos de los paquetes sospechosos,” donde se indican varias opciones SCREEN que protegen los recursos de red frente a potenciales ataques indicados por atributos de paquete IP e ICMP inusuales. Apéndice A, “Contextos para las firmas definidas por el usuario,” que proporciona descripciones de los contextos que se pueden especificar al definir un objeto de ataque de firma completa. Convenciones del documento Este documento utiliza las convenciones que se describen en las secciones siguientes: “Convenciones de la interfaz de usuario web” en la página x “Convenciones de interfaz de línea de comandos” en la página xi “Convenciones de nomenclatura y conjuntos de caracteres” en la página xi “Convenciones para las ilustraciones” en la página xiii Convenciones de la interfaz de usuario web En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea se divide en ruta de navegación y establecimientos de configuración. Para abrir una página de WebUI e introducir parámetros de configuración, navegue hacia la página en cuestión haciendo clic en un elemento del menú en el árbol de navegación en el lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida que avanza, su ruta de navegación aparece en la parte superior de la pantalla, cada página separada por signos de mayor y menor. Lo siguiente muestra los parámetros y ruta de WebUI para la definición de una dirección: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo de interrogación (?) en la parte superior izquierda de la pantalla.
  11. 11. Convenciones del documento xi Acerca de este volumen El árbol de navegación también proporciona una página de configuración de Help > Config Guide de configuración para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opción del menú desplegable y siga las instrucciones en la página. Haga clic en el carácter ? en la parte superior izquierda para la Ayuda en línea en la Guía de configuración. Convenciones de interfaz de línea de comandos Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de línea de comandos (CLI) en ejemplos y en texto. En ejemplos: Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o más opciones alternativas, aparecerán separadas entre sí por barras verticales ( | ). Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage Las variables aparecen en cursiva: set admin user nombre1 contraseña xyz En el texto, los comandos están en negrita y las variables en cursiva. Convenciones de nomenclatura y conjuntos de caracteres ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtuales, túneles de VPN y zonas) definidos en las configuraciones de ScreenOS: Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá estar entre comillas dobles; por ejemplo: set address trust “local LAN” 10.1.1.0/24 Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, “ local LAN ” se transformará en “local LAN”. Los espacios consecutivos múltiples se tratan como uno solo. En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, “local LAN” es distinto de “local lan”. ScreenOS admite los siguientes conjuntos de caracteres: NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54 se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aquí se encuentran presentes en su totalidad.
  12. 12. Manual de referencia de ScreenOS: Conceptos y ejemplos xii Convenciones del documento Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, también conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japonés. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios. NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
  13. 13. Convenciones del documento xiii Acerca de este volumen Convenciones para las ilustraciones La siguiente figura muestra el conjunto básico de imágenes utilizado en las ilustraciones de este volumen: Figura 1: Imágenes de las ilustraciones Sistema autónomo o bien dominio de enrutamiento virtual Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust) Dispositivos de seguridad Juniper Networks Concentrador Conmutador Enrutador Servidor Túnel VPN Dispositivo de red genérico Rango dinámico de IP (DIP) Internet Red de área local (LAN) con una única subred o bien zona de seguridad Interfaz de túnel Motor de directivas
  14. 14. Manual de referencia de ScreenOS: Conceptos y ejemplos xiv Asistencia y documentación técnica Asistencia y documentación técnica Para obtener documentación técnica sobre cualquier producto de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web http://www.juniper.net/customers/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algún error u omisión en este documento, póngase en contacto con Juniper Networks al techpubs-comments@juniper.net.
  15. 15. 1 Capítulo 1 Protección de una red Puede haber numerosos motivos para entrar a una red protegida. La siguiente lista contiene algunos objetivos comunes: Obtener el siguiente tipo de información sobre la red protegida: Topología Direcciones IP de los hosts activos Números de los puertos activos de los hosts activos Sistema operativo de los hosts activos Colapsar un host de una red protegida con tráfico fantasma para inducir una denegación de servicio (DoS) Colapsar una red protegida con tráfico fantasma para inducir un DoS en toda la red Colapsar un cortafuegos con tráfico fantasma e inducir un DoS para la red a la que protege Provocar daños y robar datos de un host en una red protegida Conseguir acceso a un host en una red protegida para obtener información Lograr el control de un host para aprovechar otras vulnerabilidades Apoderarse de un cortafuegos para controlar el acceso a la red a la que protege ScreenOS ofrece herramientas de detección y defensa que permiten descubrir y frustrar los esfuerzos de los hackers por alcanzar los objetivos mencionados anteriormente cuando intentan atacar una red protegida con un dispositivo de seguridad Juniper Networks.
  16. 16. Manual de referencia de ScreenOS: Conceptos y ejemplos 2 Etapas de un ataque Este capítulo proporciona una vista general de las principales etapas de un ataque y de los diversos mecanismos de defensa que puede emplear para frustrar un ataque en cualquier etapa: “Etapas de un ataque” en esta página “Mecanismos de detección y defensa” en esta página “Supervisión de vulnerabilidades” en la página 5 Etapas de un ataque Normalmente, los ataques se desarrollan en dos etapas principales. En la primera etapa, el hacker recopila información; en la segunda etapa, lanza el ataque propiamente dicho. 1. Realizar el reconocimiento. a. Crear un mapa de la red y determinar qué hosts están activos (barrido de direcciones IP). b. Averiguar qué puertos están activos (análisis de puertos) en los hosts detectados mediante barrido de direcciones IP. c. Determinar el sistema operativo (OS), con lo que se puede revelar una debilidad del OS o un tipo de ataque al que sea susceptible ese OS en particular. 2. Lanzar el ataque. a. Ocultar el origen del ataque. b. Realizar el ataque. c. Eliminar u ocultar las pruebas. Mecanismos de detección y defensa La explotación de una vulnerabilidad (exploit) puede ser un simple rastreador para obtener información o un verdadero ataque con el que se pretende comprometer, bloquear o dañar una red o un recurso de red. En algunos casos, no resulta sencillo establecer una clara distinción entre estos dos objetivos. Por ejemplo, una barrera de segmentos TCP SYN se puede utilizar como barrido de direcciones IP con el propósito de desencadenar respuestas de los hosts activos o como un ataque de asignación de grandes cantidades de paquetes simultáneos SYN con el objetivo de colapsar una red para impedir su correcto funcionamiento. Es más, como los hackers normalmente realizan un reconocimiento del objetivo antes de lanzar el ataque, podemos considerar las actividades de recopilación de información como precursoras de un ataque inminente e interpretar que constituyen la primera etapa de un ataque. Por lo tanto, el término exploit abarca tanto las actividades de reconocimiento como las de ataque y la distinción entre ambas no siempre es clara.
  17. 17. Mecanismos de detección y defensa 3 Capítulo 1: Protección de una red Juniper Networks ofrece diversos métodos de detección y mecanismos de defensa a nivel de directivas y de zona para combatir los ataques a vulnerabilidades en todas sus etapas de ejecución: Opciones SCREEN a nivel de zona Las directivas del cortafuegos en los niveles de directivas interzonales, intrazonales y (superzonales representan aquí las directivas globales, donde no se hace referencia a las zonas de seguridad) Para ofrecer protección contra todos los intentos de conexión, los dispositivos de seguridad de Juniper Networks utilizan un método de filtrado de paquetes dinámico conocido como inspección de estado. Mediante este método, el dispositivo de seguridad detecta los diversos componentes del paquete IP y de los encabezados de segmentos TCP (direcciones IP de origen y de destino, números de puertos de origen y de destino y números de secuencias de paquetes) y mantiene el estado de cada sesión TCP y seudo-sesión UDP que atraviese el cortafuegos. (El dispositivo también modifica los estados de sesión basados en elementos cambiantes, como cambios de puertos dinámicos o terminación de sesión). Cuando llega un paquete TCP de respuesta, el dispositivo compara la información incluida en su encabezado con el estado de la sesión asociada almacenada en la tabla de inspección. Si coinciden, se permite que el paquete de respuesta atraviese el cortafuegos. De lo contrario, el paquete se descarta. Las opciones SCREEN de ScreenOS aseguran una zona al inspeccionar y luego permitir o rechazar todo intento de conexión que necesite atravesar una interfaz asociada a dicha zona. El dispositivo de seguridad aplica entonces directivas de cortafuegos, que pueden contener componentes para el filtrado de contenidos y para la detección y prevención de intrusiones (IDP), al tráfico que atraviesa los filtros SCREEN. Un cortafuegos de Juniper Networks proporciona los siguientes grupos de mecanismos de defensa: Bloqueo de reconocimiento Barrido de direcciones IP Análisis de puertos NOTA: Aunque las zonas VLAN y MGT son zonas de función y no zonas de seguridad, puede establecer opciones SCREEN para ellas. La zona VLAN admite el mismo conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas de seguridad de capa 2 admiten una opción adicional de asignación de grandes cantidades de paquetes simultáneos SYN que las zonas de capa 3 no admiten: descartar direcciones MAC desconocidas). Como las siguientes opciones SCREEN no se aplican a la zona MGT, no están disponibles para dicha zona: protección contra las asignaciones de grandes cantidades de paquetes simultáneos SYN, protección contra las asignaciones de grandes cantidades de paquetes simultáneos SYN-ACK-ACK del proxy, bloqueo de componentes HTTP y protección contra ataques de WinNuke.
  18. 18. Manual de referencia de ScreenOS: Conceptos y ejemplos 4 Mecanismos de detección y defensa Sondeos del sistema operativo Técnicas de evasión Supervisión y filtrado de contenidos Reensamblaje de fragmentos Análisis antivirus Filtrado anti-spam Filtrado de Web Inspección a fondo Firmas completas Anomalías en el protocolo Bloqueo granular de los componentes de HTTP Defensas contra los ataques de denegación de servicio (DoS) Ataques de DoS contra el cortafuegos Asignación de grandes cantidades de paquetes simultáneos de la tabla de sesiones Asignación de grandes cantidades de paquetes simultáneos del proxy SYN-ACK-ACK Ataques DoS contra la red Asignación de grandes cantidades de paquetes simultáneos SYN Asignación de grandes cantidades de paquetes simultáneos ICMP Asignación de grandes cantidades de paquetes simultáneos UDP Ataques de DoS específicos de cada sistema operativo Ping of death Ataque “Teardrop” WinNuke Atributos de los paquetes sospechosos Fragmentos ICMP Paquetes ICMP grandes Opciones IP incorrectas
  19. 19. Supervisión de vulnerabilidades 5 Capítulo 1: Protección de una red Protocolos desconocidos Fragmentos de paquetes IP Fragmentos SYN Los ajustes de protección de red de ScreenOS operan en dos niveles: zona de seguridad y directivas. El dispositivo de seguridad de Juniper Networks ofrece defensas contra ataques DoS y medidas de bloqueo de reconocimiento a nivel de zona de seguridad. En el área de supervisión y filtrado de contenidos, el dispositivo de seguridad aplica un reensamblaje de fragmentos a nivel de zona y un análisis antivirus (AV) y un filtrado de localizadores de recursos uniformes (URL) a nivel de directivas. El dispositivo aplica IDP a nivel de directivas, excepto para la detección y el bloqueo de componentes HTTP, que se realiza a nivel de zona. Los ajustes del cortafuegos a nivel de zona son opciones SCREEN. Una opción de protección de red establecida en una directiva es un componente de dicha directiva. Supervisión de vulnerabilidades Aunque normalmente se utiliza el dispositivo de seguridad para bloquear ataques a vulnerabilidades, puede haber ocasiones en las que se desee obtener información sobre ellos. Es posible que desee estudiar específicamente una vulnerabilidad concreta para descubrir su intención, su nivel de sofisticación o incluso su origen (si el hacker es descuidado o poco sofisticado). Si desea obtener información sobre un ataque, puede dejar que actúe, supervisarlo, analizarlo, investigarlo y reaccionar tal como se haya esbozado en un plan de respuesta ante incidentes preparado con anterioridad. Puede configurar el dispositivo de seguridad para que le notifique la existencia de un ataque, pero que, en lugar de tomar medidas, permita que el ataque se filtre. En tal caso, podrá estudiar qué ha ocurrido e intentar comprender el método, la estrategia y los objetivos del hacker. Cuanto mejor comprenda las amenazas que acechan la red, mejor podrá fortificar sus defensas. Aunque un hacker astuto puede ocultar su ubicación e identidad, se puede averiguar suficiente información como para determinar dónde se originó el ataque. Puede que también sea capaz de estimar las habilidades del hacker. Este tipo de información le permitirá calcular su respuesta. Ejemplo: Supervisión de ataques desde la zona Untrust En este ejemplo, se han producido ataques de simulación de IP desde la zona Untrust a diario, normalmente entre las 21:00 y las 0:00 horas. En lugar de descartar los paquetes con las direcciones simuladas IP de origen, se desea que el dispositivo de seguridad le notifique de su llegada, pero que le permita el paso, quizás conduciéndolos a un sistema trampa (un servidor de red que se utiliza como señuelo para atraer a los hackers y registrar sus movimientos durante un ataque) que se ha conectado a la conexión de interfaz DMZ. A las 208:55 se modifica el comportamiento del cortafuegos para que notifique y acepte los paquetes pertenecientes a un ataque detectado en lugar de notificar y rechazarlos. Cada vez que se produzca el ataque, podrá utilizar el sistema trampa para supervisar las actividades del hacker después de que atraviese el cortafuegos. Puede trabajar también en colaboración con el ISP de subida para comenzar a rastrear la procedencia de los paquetes hasta su punto de origen.
  20. 20. Manual de referencia de ScreenOS: Conceptos y ejemplos 6 Supervisión de vulnerabilidades WebUI Screening > Screen (Zone: Untrust): Introduzca los siguientes datos, luego haga clic en Apply: Generate Alarms without Dropping Packet: (seleccione) IP Address Spoof Protection: (seleccione) CLI set zone untrust screen alarm-without-drop set zone untrust screen ip-spoofing save
  21. 21. 7 Capítulo 2 Bloqueo de reconocimiento Los hackers pueden planificar mejor sus ataques si antes conocen el diseño de la red objetivo del ataque (qué direcciones IP tienen los hosts activos), los posibles puntos de entrada (qué números de puertos están activos en los hosts activos) así como la constitución de sus víctimas (qué sistema operativo se está ejecutando en los hosts activos). Para obtener esta información es necesario realizar un reconocimiento. Juniper Networks ofrece varias opciones SCREEN para frustrar los intentos de reconocimiento de los hackers e impedir que obtengan información valiosa sobre la red y los recursos de red protegidos. “Barrido de direcciones IP” en la página 8 “Barrida de puertos” en la página 9 “Reconocimiento de red mediante opciones IP” en la página 10 “Sondeos del sistema operativo” en la página 12 “indicadores SYN y FIN activados” en la página 13 “Indicador FIN sin indicador ACK” en la página 14 “Encabezado TCP sin indicadores activados” en la página 15 “Técnicas de evasión” en la página 15 “Análisis FIN” en la página 16 “Indicadores no SYN” en la página 16 “Simulación de IP” en la página 20 “Opciones IP de ruta de origen” en la página 26
  22. 22. Manual de referencia de ScreenOS: Conceptos y ejemplos 8 Barrido de direcciones IP Barrido de direcciones IP Se produce un barrido de direcciones cuando una dirección IP de origen envía 10 paquetes ICMP a distintos hosts en un intervalo definido (el valor predeterminado es de 5000 microsegundos). La finalidad de esta acción es enviar paquetes ICMP (normalmente peticiones de eco) a varios hosts con la esperanza de que al menos uno responda, dejando al descubierto una dirección a la que apuntar. El dispositivo de seguridad registra de forma interna el número de paquetes ICMP enviados a diversas direcciones desde un origen remoto. Mediante los ajustes predeterminados, si un host remoto envía tráfico ICMP a 10 direcciones en 0,005 segundos (5000 microsegundos), el dispositivo de seguridad lo marcará como un ataque de barrido de direcciones y rechazará todas las peticiones de eco de ICMP siguientes que procedan de dicho host hasta que transcurra el tiempo del umbral especificado. El dispositivo detecta y descarta el décimo paquete que cumple con los criterios de ataque de barrido de direcciones. Figura 2: Barrido de direcciones Estudie la activación de esta opción SCREEN para una zona de seguridad solamente si existe una directiva que permita el tráfico ICMP procedente de dicha zona. De lo contrario, no es necesario habilitarla. Si no existe tal directiva, se rechaza todo el tráfico ICMP procedente de la zona, impidiendo a los hackers que realicen un barrido de direcciones IP con éxito. Para bloquear los barridos de direcciones IP originados en una zona de seguridad en concreto, utilice una de las siguientes soluciones: WebUI Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos, luego haga clic en Apply: IP Address Sweep Protection: (seleccione) Threshold: (introduzca un valor que active la protección contra barridos de direcciones IP) Origen: 2.2.2.5 (Probablemente una dirección simulada o un agente zombie) Nota: Después de recibir 10 paquetes ICMP, el dispositivo de seguridad lo registra como un barrido de direcciones IP y rechaza el paquete decimoprimero. El dispositivo de seguridad realiza una entrada en su tabla de sesiones para los 10 primeros paquetes ICMP procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos paquetes, el dispositivo los marca como no válidos y los elimina de la tabla de sesiones en el siguiente “barrido de basura”, que se realiza cada dos segundos. A partir del décimo paquete, el dispositivo rechaza todo el tráfico ICMP procedente de 2.2.2.5. ethernet2 1.2.2.1/24 Untrust Paquetes ICMP Rechazado ethernet3 1.1.1.1/24 Dir. origen 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 Dir. destino 1.2.2.5 1.2.2.160 1.2.2.84 1.2.2.211 1.2.2.10 1.2.2.20 1.2.2.21 1.2.2.240 1.2.2.17 1.2.2.123 1.2.2.6 11 paquetes ICMP en 0,005 segundos DMZ
  23. 23. Barrida de puertos 9 Capítulo 2: Bloqueo de reconocimiento CLI set zone zona screen port-scan threshold número set zone zona screen ip-sweep Barrida de puertos Una barrida de puertos se produce cuando una dirección IP de origen envía paquetes IP con segmentos TCP SYN a 10 puertos distintos de la misma dirección IP de destino en un intervalo definido (el valor predeterminado es de 5000 microsegundos). La finalidad de este esquema es examinar los servicios disponibles con la esperanza de que al menos un puerto responda, identificando un servicio al cual dirigir su ataque. El dispositivo de seguridad registra de forma interna el número de los diversos puertos analizados desde un origen remoto. Mediante los ajustes predeterminados, si un host remoto examina 10 puertos en 0.005 segundos (5000 microsegundos), el dispositivo lo marcará como ataque de barrida de puertos y rechazará todos los paquetes procedentes del origen remoto hasta que transcurra el resto del tiempo de espera especificado. El dispositivo detecta y descarta el décimo paquete que cumple con los criterios de un ataque de barrida de puertos. Figura 3: Barrida de puertos NOTA: El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos. Origen: 2.2.2.5 (Probablemente una dirección simulada o un agente zombie) Nota: A partir del décimo paquete IP con segmentos TCP SYN destinado a diversos puertos de la misma dirección IP de destino, el dispositivo de seguridad lo registra como una barrida de puertos y rechaza todos los paquetes procedentes de la dirección de origen. El dispositivo de seguridad realiza una entrada en su tabla de sesiones para los 10 primeros intentos de conexión de 2.2.2.5 a 1.2.2.5 y realiza una consulta de rutas así como una consulta de directivas para ellos. Si ninguna directiva permite estos intentos de conexión, el dispositivo los marca como no válidos y los elimina de la tabla de sesiones en el siguiente “barrido de basura”, que se realiza cada dos segundos. A partir del décimo intento, el dispositivo rechaza todos los intentos de conexión procedentes de 2.2.2.5. ethernet2 1.2.2.1/24 Untrust Paquetes IP con segmentos TCP SYN Rechazado ethernet3 1.1.1.1/24 Dir orig:puerto 2.2.2.5:17820 2.2.2.5:42288 2.2.2.5:22814 2.2.2.5:15401 2.2.2.5:13373 2.2.2.5:33811 2.2.2.5:17821 2.2.2.5:19003 2.2.2.5:26450 2.2.2.5:38087 2.2.2.5:24111 Dir dest:puert 1.2.2.5:21 1.2.2.160:23 1.2.2.84:53 1.2.2.211:80 1.2.2.10:111 1.2.2.20:113 1.2.2.21:123 1.2.2.240:129 1.2.2.17:137 1.2.2.123:138 1.2.2.6:139 11 segmentos SYN en 0,005 segundos DMZ Destino: 1.2.2.5
  24. 24. Manual de referencia de ScreenOS: Conceptos y ejemplos 10 Reconocimiento de red mediante opciones IP Para bloquear la barrida de puertos originados en una zona de seguridad en concreto, utilice una de las siguientes soluciones: WebUI Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos, luego haga clic en Apply: Port Scan Protection: (seleccione) Threshold: (introduzca un valor que active la protección contra la barrida de puertos) CLI set zone zona screen port-scan threshold número set zone zona screen port-scan Reconocimiento de red mediante opciones IP La norma RFC 791, Protocolo de Internet, especifica una serie de opciones que ofrecen controles de enrutamiento, herramientas de diagnóstico y medidas de seguridad especiales. Estas opciones aparecen después de la dirección de destino en un encabezado de paquetes IP, tal y como se muestra en la Figura 4. Figura 4: Opciones de enrutamiento La norma RFC 791 establece que estas opciones “no son necesarias para las comunicaciones más comunes” y, en realidad, rara vez aparecen en encabezados de paquetes IP. Cuando aparecen, con frecuencia se colocan para algún uso ilegítimo. La Tabla 1 enumera las opciones IP y sus atributos conjuntos. Tabla 1: Opciones IP y atributos NOTA: El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos. Encabezado IP Tipo de servicio Longitud total del paquete (en bytes) Identificación Versión Dirección de origen ProtocoloTiempo de vida (TTL) Dirección de destino Longitud de encabezado 0 Suma de comprobación del encabezado D M Opciones Carga de datos Desplazamiento del fragmento Tipo Clase Número Longitud Uso intencionado Uso pernicioso Fin de opciones 01 0 0 Indica el fin de una o más opciones IP. Ninguno. Sin opciones 0 1 0 Indica que no hay opciones IP en el encabezado. Ninguno.
  25. 25. Reconocimiento de red mediante opciones IP 11 Capítulo 2: Bloqueo de reconocimiento Seguridad 0 2 11 bits Ofrece un medio para que los hosts envíen seguridad, parámetros TCC (grupo de usuarios cerrado) y códigos de restricción de uso compatibles con los requisitos del Ministerio de Defensa (DoD) de los Estados Unidos. (Esta opción, según se especifica en las normas RFC 791, Protocolo de Internet y RFC 1038, Opción de seguridad de IP revisada, está obsoleta). Desconocido. Sin embargo, ya que se trata de una opción obsoleta, su presencia en un encabezado IP resulta sospechosa. Ruta de origen abierta 0 3 Variable Especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite atravesar otros enrutadores intermedios. Evasión. El hacker puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete o para obtener acceso a una red protegida. (Consulte “Opciones IP de ruta de origen” en la página 26). Grabación de ruta 0 7 Variable Registra las direcciones IP de los dispositivos de red del itinerario que recorre el paquete IP. El equipo de destino puede extraer y procesar la información de ruta. (Debido a la limitación de espacio de 40 bytes tanto para la opción como para el espacio de almacenamiento, sólo se puede registrar un máximo de 9 direcciones IP). Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del hacker, éste puede obtener información sobre la topología y el esquema de direccionamiento de la red atravesada por el paquete. Identificación de secuencia 0 8 4 bits (Obsoleta) Ofrecía un medio para que el identificador de secuencia SATNET de 16 bits se transportara por redes incompatibles con el concepto de secuencia. Desconocido. Sin embargo, ya que se trata de una opción obsoleta, su presencia en un encabezado IP resulta sospechosa. Ruta de origen estricta 0 9 Variable Especifica la lista de la ruta completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La última dirección de la lista sustituye a la dirección del campo de destino. Evasión. Un hacker puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete o para obtener acceso a una red protegida. (Consulte “Opciones IP de ruta de origen” en la página 26). Marca de hora 22 4 Registra la hora (en formato de horario universal3 ) en la que cada dispositivo de red recibe el paquete durante su trayecto desde el punto de origen al de destino. Los dispositivos de red se identifican por su número IP. Esta opción desarrolla una lista de direcciones IP de los enrutadores del itinerario del paquete y la duración de transmisión entre cada uno de ellos. Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del hacker, éste puede obtener información sobre la topología y el esquema de direccionamiento de la red atravesada por el paquete. 1.La clase de opciones identificada como “0” estaba diseñada para proporcionar control de red o paquetes adicionales. 2.La clase de opciones identificada como “2” se diseñó para el diagnóstico, la depuración y la medición. 3.La marca de hora utiliza el número de milisegundos desde la media noche en horario universal (UT). Este horario también se denomina “horario medio de Greenwich” (GMT) y es la base para la norma horaria internacional. Tipo Clase Número Longitud Uso intencionado Uso pernicioso
  26. 26. Manual de referencia de ScreenOS: Conceptos y ejemplos 12 Sondeos del sistema operativo Las siguientes opciones SCREEN detectan las opciones IP que un hacker puede utilizar para el reconocimiento o cualquier otra finalidad desconocida, pero sospechosa: Grabación de ruta: El dispositivo de seguridad detecta paquetes en los cuales la opción IP es 7 (Record Route) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Marca de hora: El dispositivo de seguridad detecta paquetes en los que la lista de opciones IP incluye la opción 4 (Internet Timestamp) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Seguridad: El dispositivo de seguridad detecta paquetes en los cuales la opción IP es 2 (security) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Identificador de secuencia: El dispositivo de seguridad detecta paquetes en los cuales la opción IP es 8 (Stream ID) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Para detectar paquetes con las opciones IP anteriores establecidas, utilice uno de los siguientes métodos (la zona de seguridad especificada es la zona en la que se originó el paquete): WebUI Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos, luego haga clic en Apply: IP Record Route Option Detection: (seleccione) IP Timestamp Option Detection: (seleccione) IP Security Option Detection: (seleccione) IP Stream Option Detection: (seleccione) CLI set zone zona screen ip-record-route set zone zona screen ip-timestamp-opt set zone zona screen ip-security-opt set zone zona screen ip-stream-opt Sondeos del sistema operativo Antes de lanzar un ataque, es posible que un hacker intente sondear el host al que se dirige el ataque para averiguar qué sistema operativo (OS) utiliza. Al tener conocimiento de este dato, el hacker puede decidir con mejor criterio qué ataque lanzar y qué vulnerabilidades aprovechar. Un dispositivo de seguridad de Juniper Networks puede bloquear los sondeos de reconocimiento utilizados habitualmente para obtener información sobre los tipos de OS.
  27. 27. Sondeos del sistema operativo 13 Capítulo 2: Bloqueo de reconocimiento indicadores SYN y FIN activados Los indicadores de control SYN y FIN no están activados normalmente en el mismo encabezado de segmento TCP. El indicador SYN sincroniza números de secuencia para el inicio de una conexión TCP. El indicador FIN señala el final de la transmisión de datos para la terminación de una conexión TCP. Sus finalidades se excluyen mutuamente. Un encabezado TCP con los indicadores SYN y FIN activados representa un comportamiento TCP anómalo y puede provocar varias respuestas del destinatario en función del OS. Consulte la Figura 5. Figura 5: Encabezado TCP con indicadores SYN y FIN establecidos Un hacker puede enviar un segmento con ambos indicadores (o “flags”) activados para ver el tipo de respuesta de sistema que se devuelve y determinar de este modo qué tipo de OS se utiliza en el punto de destino. A continuación, el hacker puede emplear cualquier vulnerabilidad conocida del sistema para futuros ataques. Cuando se habilita esta opción SCREEN, el dispositivo de seguridad comprueba si los indicadores SYN y FIN están activados en encabezados TCP. Si descubre un encabezado de tales características, descarta el paquete. Para bloquear paquetes con los indicadores SYN y FIN activados, utilice uno de los siguientes métodos (la zona de seguridad especificada es la zona en la que se originó el paquete): WebUI Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN and FIN Bits Set Protection y haga clic en Apply. CLI set zone zona screen syn-fin Suma de comprobación de TCP 16 bits Número de puerto de destino de 16 bits Encabezado TCP Número de reconocimiento de 32 bits Tamaño de ventana de 16 bits U R Número de puerto de origen de 16 bits Los indicadores SYN y FIN están activados. Número de secuencia de 32 bits Reservado Opciones (si las hay) Datos (si los hay) Puntero urgente 16 bits A C K P S H R S T S Y N F I N Tamaño de encabezado
  28. 28. Manual de referencia de ScreenOS: Conceptos y ejemplos 14 Sondeos del sistema operativo Indicador FIN sin indicador ACK La Figura 6 muestra los segmentos TCP con el indicador de control FIN activado (para señalar la conclusión de una sesión y terminar la conexión). Normalmente, los segmentos TCP con el indicador FIN activado tienen también el indicador ACK activado (para acusar recibo del anterior paquete recibido). Como la existencia de un encabezado TCP con el indicador FIN activado y el indicador ACK desactivado representa un indicio de comportamiento TCP anómalo, no existe una respuesta uniforme ante este hecho. Es posible que el OS reaccione enviando un segmento TCP con el indicador RST activado. También es posible que lo ignore completamente. La respuesta de la víctima puede proporcionar al hacker información sobre el OS. (Otras finalidades para enviar un segmento TCP con el indicador FIN activado pueden ser evadir la detección durante una barrida de puertos y direcciones o burlar las defensas destinadas a prevenir una asignación de grandes cantidades de paquetes simultáneos SYN provocando una signación de grandes cantidades de paquetes simultáneos FIN en su lugar. Para obtener más información sobre los análisis FIN, consulte “Análisis FIN” en la página 16). Figura 6: Encabezado TCP con indicador FIN activado Cuando se habilita esta opción SCREEN, el dispositivo de seguridad comprueba si el indicador FIN está activado y el indicador ACK está desactivado en los encabezados TCP. Si descubre un paquete con este tipo de encabezado, descarta el paquete. Para bloquear paquetes con el indicador FIN activado y el indicador ACK desactivado, utilice uno de los siguientes métodos (la zona de seguridad especificada es la zona en la que se originó el paquete): WebUI Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FIN Bit with No ACK Bit in Flags Protection y haga clic en Apply. CLI set zone zona screen fin-no-ack NOTA: Los proveedores han interpretado la norma RFC 793, Protocolo de control de transmisiones de diversas formas a la hora de diseñar las implementaciones TCP/IP. Cuando se recibe un segmento TCP con el indicador FIN activado y el indicador ACK sin activar, algunas implementaciones envían segmentos RST. Otras descartan el paquete sin enviar ningún segmento RST. Suma de comprobación de TCP 16 bits Número de puerto de destino de 16 bitsEncabezado TCP Número de reconocimiento de 32 bits Tamaño de ventana de 16 bits U R Número de puerto de origen de 16 bits Sólo está activado el indicador FIN. Número de secuencia de 32 bits Reservado Opciones (si las hay) Datos (si los hay) Puntero urgente 16 bits A C K P S H R S T S Y N F I N Tamaño de encabezado 4 bits F I N
  29. 29. Técnicas de evasión 15 Capítulo 2: Bloqueo de reconocimiento Encabezado TCP sin indicadores activados Un encabezado de segmento TCP normal tiene al menos un indicador de control activado. Un segmento TCP sin indicadores de control activados representa un evento anómalo. Puesto que cada sistema operativo reacciona de forma distinta a tal anomalía, la respuesta (o la falta de respuesta) del dispositivo objetivo puede dar indicios del tipo de OS que se está ejecutando. Consulte la Figura 7. Figura 7: Encabezado TCP sin indicadores activado Cuando se habilita el dispositivo de seguridad para detectar encabezados de segmento TCP sin indicadores activados, el dispositivo descartará todos los paquetes TCP que carezcan de un campo de indicador o que tengan un campo de indicador mal formado. Para bloquear los paquetes que no tengan ningún indicador activado, utilice uno de los siguientes métodos (la zona de seguridad especificada es la zona en la que se originó el paquete): WebUI Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCP Packet without Flag Protection y haga clic en Apply. CLI set zone zona screen tcp-no-flag Técnicas de evasión Ya sea mientras recopila información o lanza un ataque, lo normal es que el hacker evite que lo detecten. Aunque ciertas barridas de puertos y direcciones IP son tan descaradas que se pueden detectar fácilmente, algunos hackers con mayores recursos utilizan una gran cantidad de medios para ocultar sus actividades. Técnicas tales como la utilización de análisis FIN en lugar de análisis SYN, que los hackers saben que la mayoría de cortafuegos y programas de detección de intrusiones detectan, indican una evolución en las técnicas de reconocimiento y aprovechamiento de vulnerabilidades con la finalidad de eludir la detección y llevar a cabo sus acciones. Suma de comprobación de TCP 16 bits Número de puerto de destino de 16 bits Número de reconocimiento de 32 bits Tamaño de ventana de 16 bits U R Número de puerto de origen de 16 bits No hay ningún indicador activado. Número de secuencia de 32 bits Reservado Opciones (si las hay) Datos (si los hay) Puntero urgente 16 bits A C K P S H R S T S Y N F I N Tamaño de encabezado 4 bits Encabezado TCP
  30. 30. Manual de referencia de ScreenOS: Conceptos y ejemplos 16 Técnicas de evasión Análisis FIN Un análisis FIN envía segmentos TCP con el indicador FIN activado para intentar provocar una respuesta (un segmento TCP con el indicador RST activado) y así descubrir un host activo o un puerto activo en un host. El hacker puede utilizar este método no para realizar un barrido de direcciones con peticiones de eco ICMP o un análisis de direcciones con segmentos SYN, sino porque sabe que muchos cortafuegos se defienden contra estos dos últimos, pero no necesariamente contra los segmentos FIN. Si se utilizan segmentos TCP con el indicador FIN activado se puede evadir la detección, permitiendo así que el hacker tenga éxito en su intento de reconocimiento. Para frustrar un análisis FIN, puede ejecutar cualquiera de las siguientes acciones o ambas: Habilitar la opción SCREEN que bloquea específicamente segmentos TCP con el indicador FIN activado, pero no el indicador ACK, lo que no es normal en un segmento TCP. WebUI: Screening > Screen: Seleccione la zona a la que desea aplicar esta opción SCREEN en la lista desplegable “Zone” y seleccione FIN Bit With No ACK Bit in Flags Protection. CLI: Introduzca set zone nombre screen fin-no-ack, donde nombre se refiere a la zona a la que desee aplicar esta opción de SCREEN. Cambie el comportamiento de procesamiento de paquetes para rechazar todos los paquetes no SYN que no pertenezcan a una sesión existente, mediante el comando CLI: set flow tcp-syn-check. (Para obtener más información sobre la comprobación del indicador SYN, consulte la siguiente sección, “Indicadores no SYN” en la página 16.) Indicadores no SYN De forma predeterminada, el dispositivo de seguridad revisa si hay indicadores SYN en el primer paquete de una sesión y rechaza cualquier segmento TCP que tenga indicadores que no sean SYN intentando iniciar una sesión. Puede dejar fluir este paquete tal y como está o cambiarlo para que el dispositivo no utilice la revisión de indicador SYN antes de crear una sesión. La Figura 8 en la página 17 muestra las secuencias del flujo de paquete cuando está habilitada la revisión del indicador SYN y cuando está desactivada. NOTA: El cambio del flujo de paquetes para comprobar que el indicador SYN está activado para los paquetes que no pertenecen a sesiones existentes, también frustra otros tipos de análisis no SYN, tales como los análisis nulos (“null scan”, es decir, cuando no hay ningún indicador de TCP activo).
  31. 31. Técnicas de evasión 17 Capítulo 2: Bloqueo de reconocimiento Figura 8: Comprobación de indicador SYN Cuando el dispositivo de seguridad con la comprobación de indicador SYN habilitada recibe un segmento de TCP que no es SYN y no pertenece a una sesión existente, éste descarta el paquete y envía el host de origen a TCP RST, a menos que el bit de código de un paquete TCP que no es SYN inicial, también sea RST. En ese caso, el dispositivo de seguridad sencillamente descarta el paquete. Puede habilitar y deshabilitar la comprobación de SYN con los siguientes comandos CLI: set flow tcp-syn-check unset flow tcp-syn-check NOTA: De forma predeterminada, la revisión del indicador TCP SYN en el paquete inicial de una sesión está habilitada cuando se instala el dispositivo de seguridad de Juniper Networks con ejecución de ScreenOS 5.1.0 o superior. Si se actualiza de una versión anterior a ScreenOS 5.1.0, la revisión SYN permanece desactivada de forma predeterminada, a menos que haya cambiado previamente el comportamiento predeterminado. Estos flujos de paquete son los mismos ya sea que la interfaz de entrada esté operando en la capa 3 (modo de ruta o NAT) o en la capa 2 (modo transparente). Consulta de sesiones Actualización de sesión REDIRECCIONAMIENTO En sesión Permis Sí REDIRECCIONAMIENTO Creación de sesión Comprobación de indicador SYN Con la comprobación de indicador SYN habilitada No en sesión Rechazado No DESCARTARDESCARTAR Consultade directivas El paquete llega a la interfaz de entrada Consultade sesiones Actualización de sesión REDIRECCIONAMIENTO En sesión Permis Creación de sesión No en sesión Rechazado DESCARTAR Consulta de directivas El paquete llega a REDIRECCIONAMIENTO Con la comprobación de indicador SYN inhabilitada
  32. 32. Manual de referencia de ScreenOS: Conceptos y ejemplos 18 Técnicas de evasión La opción de no comprobar el indicador SYN en los primeros paquetes ofrece las siguientes ventajas: NSRP con enrutamiento asimétrico: En una configuración NSRP activa/activa en un entorno de enrutamiento dinámico, un host puede enviar el segmento inicial TCP con el indicador SYN activado a un dispositivo de seguridad (dispositivo A), pero la señal SYN/ACK podría enrutarse al otro dispositivo de seguridad del clúster (dispositivo B). Si este enrutamiento asimétrico se produce después de que el dispositivo A haya sincronizado su sesión con el dispositivo B, todo está en orden. Por el contrario, si la respuesta SYN/ACK llega al dispositivo B antes de que el dispositivo A haya sincronizado la sesión y la comprobación de SYN está habilitada, el dispositivo B rechaza SYN/ACK, lo que impide establecer la sesión. Con la comprobación de SYN inhabilitada, el dispositivo B acepta la respuesta SYN/ACK (aunque no pertenezca a ninguna sesión existente) y crea para ella una nueva entrada en la tabla de sesiones. Sesiones no interrumpidas: Si la comprobación de SYN está habilitada y se agrega un dispositivo de seguridad en modo transparente a una red operativa, se interrumpen todas las sesiones existentes y por lo tanto deberán reiniciarse. Esta interrupción puede ser muy molesta para sesiones muy largas, como las de transferencias de datos o las de copias de seguridad de grandes bases de datos. De forma similar, si se restablece el dispositivo de seguridad o incluso si se cambia un componente en la sección central de una directiva y la comprobación de SYN está habilitada, todas las sesiones existentes (o las sesiones a las que afecte la modificación de la directiva) se interrumpirán y deberán reiniciarse. Inhabilitar la comprobación de SYN evita esas interrupciones al tráfico de la red. Sin embargo, observe que las ventajas anteriores requieren los siguientes sacrificios en seguridad: Agujeros de reconocimiento: Cuando un segmento TCP inicial con un indicador no SYN (como ACK, URG, RST, FIN) llega a un puerto cerrado, muchos sistemas operativos (Windows, por ejemplo) responden con un segmento TCP cuyo indicador RST está activado. Si el puerto está abierto, el receptor no genera ninguna respuesta. NOTA: Una solución a esta situación es instalar el dispositivo de seguridad con la comprobación de SYN inicialmente inhabilitada. Luego, después de unas pocas horas, cuando las sesiones establecidas se estén ejecutando a través del dispositivo, habilite la comprobación de SYN. La sección central de una directiva contiene los siguientes componentes principales: zonas de origen y de destino, direcciones de origen y de destino, uno o más servicios y una acción.
  33. 33. Técnicas de evasión 19 Capítulo 2: Bloqueo de reconocimiento Al analizar las respuestas o la ausencia de éstas, un recopilador de inteligencia puede realizar un reconocimiento en la red protegida y también en el conjunto de directivas de ScreenOS. Si después envía un segmento TCP con un indicador no SYN activado y la directiva le permite el paso, el host de destino del segmento podría descartarlo y responder con un segmento TCP cuyo indicador RST esté activado. Tal respuesta informa al intruso sobre la presencia de un host activo en una dirección específica y le indica que el número de puerto de destino está cerrado. El recopilador de inteligencia también averigua que la directiva del cortafuegos permite acceder a ese número de puerto en ese host. Con la comprobación del indicador SYN habilitada, el dispositivo de seguridad descarta los segmentos TCP que no tengan indicador SYN siempre que no pertenezcan a una sesión existente. El dispositivo no devolverá un segmento TCP RST. Por lo tanto, el escáner no obtendrá ninguna respuesta, sea cual sea el conjunto de directivas o si el puerto está abierto o cerrado en el host de destino. Asignaciones de grandes cantidades de paquetes simultáneos de tablas de sesiones: Si la comprobación de SYN está inhabilitada, un hacker puede evitar la función de protección contra la asignación de grandes cantidades de paquetes simultáneos SYN de ScreenOS al asignar una red protegida con una cantidad ingente de segmentos TCP que tengan indicadores no SYN activados. Aunque los hosts atacados descartarán los paquetes (y posiblemente envíen segmentos TCP RST como respuesta), tal asignación de grandes cantidades de paquetes simultáneos podría llenar la tabla de sesiones del dispositivo de seguridad. Con la tabla de sesiones llena, el dispositivo no puede procesar nuevas sesiones de tráfico legítimo. Al habilitar la comprobación de SYN y la protección contra las asignaciones de grandes cantidades de paquetes simultáneos SYN, podrá frustrar esta clase de ataques. Al revisar que el indicador SYN está activado en el paquete inicial de una sesión se obliga a todas las nuevas sesiones a comenzar con un segmento TCP que tenga el indicador SYN activado. A continuación, la protección contra las asignaciones de grandes cantidades de paquetes simultáneos SYN limita el número de segmentos TCP SYN por segundo para evitar saturaciones en la tabla de sesiones. Si no necesita desactivar la comprobación de SYN, Juniper Networks le recomienda que esté habilitada (su estado predeterminado para una instalación inicial de ScreenOS). Puede habilitarla con el siguiente comando: set flow tcp-syn-check. Con la comprobación de SYN habilitada, el dispositivo de seguridad rechaza los segmentos TCP con indicadores que no son SYN activados, salvo que pertenezcan a una sesión establecida. NOTA: Para obtener información sobre las asignaciones de grandes cantidades de paquetes simultáneos de la tabla de sesiones, consulte “Inundaciones de la tabla de sesiones” en la página 30. Para obtener información sobre las asignaciones de grandes cantidades de paquetes simultáneos SYN de la tabla de sesiones, consulte “Inundaciones SYN” en la página 37.
  34. 34. Manual de referencia de ScreenOS: Conceptos y ejemplos 20 Técnicas de evasión Simulación de IP Un método para intentar acceder a un área restringida de la red es insertar una dirección de origen fantasma en el encabezado del paquete para que éste parezca que procede de un lugar de origen fiable. Esta técnica se conoce como simulación de IP (IP Spoofing). Para detectar esta técnica, ScreenOS dispone de dos métodos con el mismo objetivo: determinar si el paquete procede de una ubicación distinta a la indicada en el encabezado. El método que utiliza el dispositivo de seguridad de Juniper Networks depende de si funciona en la capa 3 o en la capa 2 del modelo OSI. Capa 3: cuando las interfaces del dispositivo de seguridad funcionan en modo de ruta o en modo NAT, el mecanismo para detectar la simulación de IP dependerá de las entradas de la tabla de rutas. Si, por ejemplo, un paquete con la dirección IP de origen 10.1.1.6 llega a ethernet3, pero el dispositivo de seguridad tiene una ruta a 10.1.1.0/24 a través de ethernet1, la comprobación de simulación de IP detectará que esta dirección ha llegado a una interfaz no válida, ya que según la definición de la tabla de rutas un paquete válido procedente de 10.1.1.6 sólo puede llegar a través de ethernet1, no de ethernet3. Así, el dispositivo concluye que el paquete es una dirección IP de origen simulada y la descarta. Figura 9: Simulación de IP de la capa 3 Si la dirección IP de origen de un paquete no aparece en la tabla de rutas, el dispositivo de seguridad permite su paso de forma predeterminada (asumiendo que existe una directiva que lo permite). Si utiliza el siguiente comando CLI (en donde la zona de seguridad especificada es la zona de donde proceden los paquetes), puede hacer que el dispositivo de seguridad descarte cualquier paquete cuya dirección IP de origen no esté incluida en la tabla de rutas: set zone zona screen ip-spoofing drop-no-rpf-route X Un paquete IP llega a ethernet3. Su dirección IP de origen es 10.1.1.6. 1. 3. 2. Paquete IP con IP de origen 10.1.1.6 Si al consultar la tabla de rutas observa que 10.1.1.6 no es una dirección IP de origen válida para un paquete que llega a ethernet3, el dispositivo rechazará el paquete. Como la protección contra simulación de IP está habilitada en la zona Untrust, el dispositivo comprueba si 10.1.1.6 es una dirección IP de origen válida para los paquetes que llegan a ethernet3. Zona Trust Zona Untrust ethernet3 1.1.1.1/24 ethernet1 10.1.1.1/24 Subred: 10.1.1.0/24 Tabla de rutas ID 1 IP-Prefijo 10.1.10/24 Interfaz eth 1 Puerta de enlace 0.0.0.0 P C
  35. 35. Técnicas de evasión 21 Capítulo 2: Bloqueo de reconocimiento Capa 2: si las interfaces del dispositivo de seguridad funcionan en modo transparente, el mecanismo de comprobación de simulación de IP utilizará las entradas de la libreta de direcciones. Por ejemplo, ha definido una dirección para “serv A” como 1.2.2.5/32 en la zona V1-DMZ. Si un paquete con la dirección IP de origen 1.2.2.5 llega a una interfaz de la zona V1-Untrust (ethernet3), la comprobación de simulación de IP detectará que esta dirección ha llegado a una interfaz incorrecta. La dirección pertenece a la zona V1-DMZ y no a la zona V1-Untrust, por lo que sólo se aceptaría en ethernet2, que es la interfaz asociada a V1-DMZ. El dispositivo concluye que el paquete tiene una dirección IP de origen simulada y la descarta. Figura 10: Simulación de IP de la capa 2 Tenga cuidado al definir direcciones para la subred que abarca múltiples zonas de seguridad. En la Figura 10, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust como a la zona V1-DMZ. Si configura el dispositivo de seguridad tal y como se describe a continuación, bloqueará el tráfico procedente de la zona V1-DMZ cuyo paso desea permitir: Defina una dirección para 1.2.2.0/24 en la zona V1-Untrust. Tenga una directiva que permita el tráfico desde cualquier dirección de la zona V1-DMZ hacia cualquier dirección de la zona V1-Untrust (set policy from v1-dmz to v1-untrust any any any permit). Habilite la comprobación de simulación de IP. Como las direcciones de la zona V1-DMZ también se encuentran en la subred 1.2.2.0/24, cuando el tráfico procedente de esas direcciones llegue a ethernet2, la comprobación de simulación de IP consultará la libreta de direcciones y encontrará 1.2.2.0/24 en la zona V1-Untrust. En consecuencia, el dispositivo de seguridad bloqueará el tráfico. Un paquete IP llega de la zona V1-Untrust. Su dirección IP de origen es 1.2.2.5. 1. 3. 2. Paquete IP con IP de origen 1.2.2.5 Si al consultar la libreta de direcciones observa que 1.2.2.5 no es una dirección IP de origen válida para un paquete procedente de la zona V1-Untrust, el dispositivo rechazará el paquete. Debido a que la protección contra simulación de IP está habilitada en la zona Untrust V1, el dispositivo comprueba si 1.2.2.5 es una dirección IP de origen válida para el paquete que llega de la zona Untrust V1. Zona V1-DMZ Zona V1-Untrust ethernet3 0.0.0.0/0 ethernet2 0.0.0.0/0 Subred: 1.2.2.0/24 Nombre de zona de dirección: V1-DMZ serv A Nombre 1.2.2.5 Dirección Máscara de red 255.255.255.255 C serv A
  36. 36. Manual de referencia de ScreenOS: Conceptos y ejemplos 22 Técnicas de evasión Ejemplo: Protección contra simulación de IP en la capa 3 En este ejemplo habilitará la protección contra simulación de IP en las zonas Trust, DMZ y Untrust para un dispositivo de seguridad de Juniper Networks que funciona en la capa 3. De forma predeterminada el dispositivo realiza entradas automáticamente en la tabla de rutas para las subredes especificadas en las direcciones IP de interfaz. Además de estas entradas automáticas en la tabla de rutas, deberá introducir manualmente las siguientes tres rutas que se muestran en la siguiente tabla: Si habilita la opción SCREEN para protección contra simulación de IP pero no indica estas tres rutas, el dispositivo descartará todo tráfico de las direcciones que aparecen en la columna Destino e insertará las alarmas correspondientes en el registro de eventos. Por ejemplo, si un paquete con la dirección de origen 10.1.2.5 llega a ethernet1 y no hay ninguna ruta a la subred 10.1.2.0/24 a través de ethernet1, el dispositivo determinará que ese paquete ha llegado a una interfaz no válida y lo descartará. Todas las zonas de seguridad de este ejemplo se encuentran en el dominio de enrutamiento trust-vr. Figura 11: Ejemplo de la simulación de IP de la capa 3 Destino Interfaz de salida Siguiente puerta de enlace 10.1.2.0/24 ethernet1 10.1.1.250 1.2.3.0/24 ethernet2 1.2.2.250 0.0.0.0/0 ethernet3 1.1.1.250 10.1.2.0/24 Enrutador 1.1.1.250 Zona DMZ Zona Untrust ethernet2 1.2.2.1/24 1.2.3.0/24 1.2.2.0/24 Zona Trust 10.1.1.0/24 ethernet1 10.1.1.1/24 ethernet3 1.1.1.1/24 Enrutador 10.1.1.250 1.1.1.0/24 0.0.0.0/0 Enrutador 1.2.2.250
  37. 37. Técnicas de evasión 23 Capítulo 2: Bloqueo de reconocimiento WebUI 1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply: Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK: Zone Name: DMZ Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.1.1/24 2. Rutas Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.2.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 1.2.3.0/24 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 1.2.2.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
  38. 38. Manual de referencia de ScreenOS: Conceptos y ejemplos 24 Técnicas de evasión 3. Protección contra simulación de IP Screening > Screen (Zone: Trust): Seleccione IP Address Spoof Protection y haga clic en Apply. Screening > Screen (Zone: DMZ): Seleccione IP Address Spoof Protection y haga clic en Apply. Screening > Screen (Zone: Untrust): Seleccione IP Address Spoof Protection y haga clic en Apply. CLI 1. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2. Rutas set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250 set vrouter trust-vr route 1.2.3.0/24 interface ethernet2 gateway 1.2.2.250 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 3. Protección contra simulación de IP set zone trust screen ip-spoofing set zone dmz screen ip-spoofing set zone untrust screen ip-spoofing save Ejemplo: Protección contra simulación de IP en la capa 2 En este ejemplo protegerá la zona V1-DMZ contra la simulación de IP en el tráfico originado en la zona V1-Untrust. En primer lugar debe definir las siguientes direcciones para los tres servidores Web de la zona V1-DMZ: servA: 1.2.2.10 servB: 1.2.2.20 servC: 1.2.2.30 Ahora puede habilitar la protección en la zona V1-Untrust. Si un hacker en la zona V1-Untrust intenta simular la dirección IP de origen utilizando cualquiera de las tres direcciones de la zona V1-DMZ, el dispositivo de seguridad comprobará la dirección comparándola con las direcciones de las libretas de direcciones. Cuando descubra que la dirección IP de origen de un paquete procedente de la zona V1-Untrust pertenece a una dirección definida en la zona V1-Untrust, el dispositivo rechazará el paquete.
  39. 39. Técnicas de evasión 25 Capítulo 2: Bloqueo de reconocimiento WebUI 1. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: servA IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.10/32 Zone: V1-DMZ Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: servB IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.20/32 Zone: V1-DMZ Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: servC IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.30/32 Zone: V1-DMZ 2. Protección contra simulación de IP Screening > Screen (Zone: V1-Trust): Seleccione IP Address Spoof Protection y haga clic en Apply. CLI 1. Direcciones set address v1-dmz servA 1.2.2.10/32 set address v1-dmz servB 1.2.2.20/32 set address v1-dmz servC 1.2.2.30/32 2. Protección contra simulación de IP set zone v1-untrust screen ip-spoofing save
  40. 40. Manual de referencia de ScreenOS: Conceptos y ejemplos 26 Técnicas de evasión Opciones IP de ruta de origen El enrutamiento de origen se diseñó para que, desde el origen de una transmisión de paquetes IP, el usuario pueda especificar las direcciones IP de los enrutadores (también conocidos como “saltos”) a lo largo de la ruta que desee que un paquete IP siga para llegar a su destino. La intención original de las opciones IP de ruta de origen era ofrecer herramientas de control de enrutamiento como ayuda al análisis de diagnósticos. Por ejemplo, si la transmisión de un paquete a un destino en particular se realiza con un nivel de éxito irregular, puede utilizar la opción IP de marca de hora o de grabación de ruta para averiguar las direcciones de los enrutadores del itinerario o los itinerarios seguidos por el paquete. Luego, puede utilizar la opción de ruta de origen estricta o de ruta de origen abierta para conducir el tráfico por un itinerario específico, utilizando las direcciones averiguadas mediante la opción IP de marca de hora o de grabación de ruta. Al cambiar las direcciones de enrutador para cambiar el itinerario y enviar diversos paquetes por distintos itinerarios, puede observar los cambios que contribuyen a aumentar o reducir las posibilidades de éxito. Mediante el análisis y un proceso de eliminación, es posible que pueda deducir dónde reside el problema. Figura 12: Ruta de origen IP Aunque la aplicación de las opciones IP de ruta de origen era buena originalmente, los hackers han aprendido a utilizar estas opciones con malas intenciones. Las opciones IP de ruta de origen se pueden emplear para ocultar la dirección auténtica del hacker y acceder a áreas restringidas de una red especificando una ruta distinta. A continuación se incluye un ejemplo en el que se muestra cómo un hacker puede poner en práctica estos engaños, como se muestra en la Figura 13. Opciones IP de ruta de origen para diagnóstico Cuatro enrutadores Itinerario del paquete La transmisión de A a B mediante los enrutadores 1 y 3 se realiza con éxito el 50% de las ocasiones. Mediante el enrutamiento de origen IP, A envía tráfico a través de los enrutadores 2 y 3. La transmisión de A a B se realiza con éxito el 50% de las ocasiones. Mediante el enrutamiento de origen IP, A envía tráfico a través de los enrutadores 1 y 4. La transmisión de A a B se realiza con éxito el 100% de las ocasiones. Por lo tanto, podemos suponer que el problema reside en el enrutador 3. 1 2 3 4 4 4 3 3 2 2 1 1 A B B BA A
  41. 41. Técnicas de evasión 27 Capítulo 2: Bloqueo de reconocimiento Figura 13: Opción IP de ruta de origen abierta para un engaño El dispositivo de seguridad de Juniper Networks sólo permite el tráfico 2.2.2.0/24 si pasa a través de ethernet1, una interfaz asociada a la zona Untrust. Los enrutadores 3 y 4 hacen cumplir los controles de acceso, pero los enrutadores 1 y 2 no los hacen cumplir. Además, el enrutador 2 no comprueba la posible simulación de IP. El hacker suplanta la dirección de origen y, al utilizar la opción de ruta de origen abierta, dirige el paquete a través del enrutador 2 hasta la red 2.2.2.0/24 y, desde allí, al enrutador 1. Éste redirecciona el paquete al enrutador 3, que a su vez lo redirecciona al dispositivo de seguridad. Como el paquete procede de la subred 2.2.2.0/24 y contiene una dirección de origen de esa subred, aparece como válido. Sin embargo, hay algo clave que aún no cuadra: la opción de ruta de origen abierta. En este ejemplo, ha habilitado la opción SCREEN “Deny IP Source Route Option” para la zona Untrust. Cuando el paquete llega a ethernet3, el dispositivo lo rechaza. El dispositivo de seguridad se puede habilitar para que bloquee cualquier paquete con opciones de ruta de origen abierta o estricta o para que los detecte y luego registre el evento en la lista de contadores para la interfaz de entrada. A continuación se ofrecen las opciones SCREEN: Deny IP Source Route Option: Habilite esta opción para bloquear todo el tráfico IP que emplee la opción de rutas de origen abierta o estricta. Las opciones de ruta de origen pueden llegar a permitir a un hacker entrar en una red con una dirección IP falsa. Detect IP Loose Source Route Option: El dispositivo de seguridad detecta paquetes en los que la opción IP es 3 (Loose Source Routing) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Esta opción especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite pasar por otros enrutadores. Detect IP Strict Source Route Option: El dispositivo de seguridad detecta paquetes en los que la opción IP es 9 (Strict Source Routing) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Esta opción especifica la lista de rutas completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La última dirección de la lista sustituye a la dirección del campo de destino. (Para obtener más información sobre todas las opciones IP, consulte “Reconocimiento de red mediante opciones IP” en la página 10). Sin comprobación de simulación de IP Sin control de acceso Cuatro enrutadores Itinerario del paquete 10.1.1.0/24 1 2 3 4 Información del paquete Dirección de origen real: 6.6.6.5 Dirección de origen simulada: 2.2.2.5 Dirección de destino: 1.1.1.5 IP de ruta de origen abierta: 6.6.6.250, 2.2.2.250 Hacker 2.2.2.0/24 Dirección IP asignada: 1.1.1.5 - 10.1.1.5 Directiva: set policy from untrust to trust 2.2.2.0/24 MIP(1.1.1.5) HTTP permit ethernet3 1.1.1.1/24 Zona Untrust ethernet1 10.1.1.1/24 Zona Trust ServidorHTTP 10.1.1.5 Entre las opciones SCREEN para la zona Untrust se incluye “Deny IP Source Route Option”. El dispositivo de seguridad descarta el paquete.
  42. 42. Manual de referencia de ScreenOS: Conceptos y ejemplos 28 Técnicas de evasión Para bloquear paquetes con la opción IP de ruta de origen abierta o estricta establecida, utilice uno de los siguientes métodos (la zona de seguridad especificada es la zona en la que se originó el paquete): WebUI Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP Source Route Option Filter y haga clic en Apply. CLI set zone zona screen ip-filter-src Para detectar y registrar (pero no bloquear) paquetes con la opción IP de ruta de origen abierta o estricta establecida, utilice uno de los siguientes métodos (la zona de seguridad especificada es la zona en la que se originó el paquete): WebUI Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos, luego haga clic en Apply: IP Loose Source Route Option Detection: (seleccione) IP Strict Source Route Option Detection: (seleccione) CLI set zone zona screen ip-loose-src-route set zone zona screen ip-strict-src-route
  43. 43. 29 Capítulo 3 Defensas contra los ataques de denegación de servicio La intención de un ataque de denegación de servicio (DoS) es sobrecargar a la víctima potencial con tal cantidad de tráfico fantasma que se sature intentando procesar el tráfico fantasma y no consiga procesar el tráfico legítimo. El objetivo puede ser el cortafuegos de Juniper Networks, los recursos de red cuyos accesos controla el cortafuegos o la plataforma de hardware específica o el sistema operativo (OS) de un host determinado. Si un ataque DoS se genera desde múltiples direcciones de origen, se conoce como ataque distribuido de denegación de servicio (Distributed Denial-of-Service o DDoS). Normalmente, la dirección de origen de un ataque DoS es simulada (“spoofed”). Las direcciones de origen de un ataque DDoS pueden ser simuladas, o bien, pueden ser las direcciones reales de hosts previamente comprometidos por el hacker y que éste utiliza ahora como “agentes zombie” para ejecutar el ataque. El dispositivo de seguridad puede defenderse a sí mismo y defender a los recursos que protege de los ataques DoS y DDoS. Las siguientes secciones describen las diversas opciones de defensa disponibles: “Ataques DoS contra el cortafuegos” en la página 30 “Inundaciones de la tabla de sesiones” en la página 30 “Inundaciones de SYN-ACK-ACK a través de un servidor proxy” en la página 35 “Ataques DoS contra la red” en la página 37 “Inundaciones SYN” en la página 37 “Cookie SYN” en la página 47 “Inundaciones ICMP” en la página 49 “Inundaciones UDP 

×