Ssg5 Manual

NetScreen conceptos y ejemplos
Manual de referencia de ScreenOS

Volumen 4: Mecanismos de deteccin de ataques y defensa
ScreenOS 5.1.0 Ref. 093-1369-000-SP Revisin B
Copyright Notice
Copyright 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Information in this document is subject to change without notice. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc. ATTN: General Counsel 1194 N. Mathilda Ave. Sunnyvale, CA 94089-1206
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreens installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.
Contenido
Contenido
Prefacio ......................................................................... v
Convenciones ...........................................................vii
Convenciones de la interfaz de lnea de comandos (CLI) ......................................................vii Convenciones de la interfaz grfica (WebUI) .............viii Convenciones para las ilustraciones............................ x Convenciones de nomenclatura y conjuntos de caracteres ................................................................... xi Anlisis FIN.................................................................. 22 Flags no SYN............................................................... 23 Suplantacin de IP ..................................................... 27 Ejemplo: Proteccin contra suplantacin de IP en la capa 3............................................... 30 Ejemplo: Proteccin contra suplantacin de IP en la capa 2............................................... 34 Opciones de IP de ruta de origen ............................. 36
Documentacin de NetScreen de Juniper Networks ..................................................xii
Captulo 3 Defensas contra los ataques de denegacin de servicio.........................................41

Ataques DoS contra el cortafuegos .........................42
Inundacin de la tabla de sesiones .......................... 42 Lmites de sesiones segn sus orgenes y destinos ............................................................. 42 Ejemplo: Limitacin de sesiones segn su origen .............................................................. 45 Ejemplo: Limitacin de sesiones segn su destino............................................................. 46 Envejecimiento agresivo...................................... 46 Ejemplo: Forzar el envejecimiento agresivo de sesiones .......................................................... 49 Inundacin proxy SYN-ACK-ACK................................. 50
Captulo 1 Proteccin de una red................................1

Etapas de un ataque .................................................2 Mecanismos de deteccin y defensa .......................3 Supervisin de exploits ...............................................5
Ejemplo: Supervisin de ataques desde la zona Untrust .....................................................................6
Captulo 2 Bloqueo de reconocimiento .......................7

Barrido de direcciones IP ...........................................8 Anlisis de puertos....................................................10 Reconocimiento de red mediante opciones IP .......12 Rastreo del sistema operativo ..................................16
Flags SYN y FIN activados ...........................................16 Flag FIN sin flag ACK...................................................18 Encabezado TCP sin flags activados..........................20
Ataques DoS contra la red .......................................52

Inundacin SYN .......................................................... 52 Ejemplo: Proteccin contra inundaciones SYN.... 59 Inundacin ICMP ....................................................... 67 Inundacin UDP.......................................................... 69 Ataque terrestre (Land Attack)................................. 71
Tcnicas de evasin ................................................22
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa
Contenido
Ataques DoS especficos de cada sistema operativo .....................................................73

Ping of Death ...........................................................73 Ataque Teardrop......................................................75 WinNuke......................................................................77
Comportamiento en modo de fallo .................. 108 Mtodo HTTP Keep-Alive .................................... 108 Goteo HTTP ......................................................... 109
Filtrado de URL........................................................111
Filtrado de URL integrado......................................... 112 Servidor de nombres de dominios (DNS)............ 113 Contexto de filtrado de URL ............................... 113 Ejemplo: Activar el filtrado de URL ..................... 114 Categoras URL................................................... 115 Ejemplo: Categora de URL................................ 116 Perfiles de filtrado URL ........................................ 117 Ejemplo: Perfil de filtrado de URL ....................... 119 Perfiles y directivas de URL ................................. 120 Ejemplo: Filtrado de URL integrado.................... 121 Servidores SurfControl ........................................ 124 Cach del filtrado de URL.................................. 125 Ejemplo: Parmetros del cach ........................ 125 Redireccionamiento del filtrado de URL .................. 126 Ejemplo: Configuracin del filtrado de URL ....... 132
Captulo 4 Supervisin y filtrado de contenidos .........79

Reensamblaje de fragmentos..................................81
Proteccin contra URLs maliciosas .............................81 Puerta de enlace en la capa de aplicacin.............82 Ejemplo: Bloqueo de URLs maliciosas fragmentadas ......................................................83
Anlisis antivirus ........................................................86

Anlisis del trfico FTP .................................................87 Anlisis del trfico HTTP ...............................................89 Extensiones MIME de HTTP.....................................90 Correo web HTTP...................................................91 Anlisis del trfico IMAP y POP3 ..................................92 Anlisis del trfico SMTP ..............................................94 Actualizacin del archivo de firmas AV ......................96 Ejemplo: actualizacin automtica .....................98 Ejemplo: Actualizacin manual............................99 Aplicacin de anlisis AV .........................................100 Ejemplo: Anlisis AV interno (POP3).....................100 Ajustes del analizador AV..........................................103 Anlisis selectivo de contenido ..........................103 Ejemplo: Anlisis de todos los tipos de trfico....104 Ejemplo: Anlisis AV para SMTP y HTTP ................105 Descompresin y tamao mximo de los contenidos...............................................106 Ejemplo: Descartar archivos de gran tamao.................................................106 Asignacin de recursos a AV..............................107
Captulo 5 Deep Inspection .....................................135

Resumen de Deep Inspection................................137 Servidor de la base de datos de objetos de ataque ..............................................................141
Ejemplo: Actualizacin inmediata ..................... 142 Ejemplo: Actualizaciones automticas.............. 144 Ejemplo: Notificacin automtica y actualizacin inmediata................................. 145 Ejemplo: Actualizacin manual ......................... 147
Objetos de ataque y grupos..................................149

Protocolos compatibles............................................ 151 Firmas completas ..................................................... 156
ii
Contenido Firmas de secuencias TCP ........................................157 Anomalas en el protocolo .......................................157 Grupos de objetos de ataque..................................158 Cambio de los niveles de gravedad .................159 Ejemplo: Deep Inspection para P2P...................161 Desactivacin de objetos de ataque ......................163
Negacin ...............................................................200
Ejemplo: Negacin del objeto de ataque ........ 200
Bloqueo granular de los componentes de HTTP.....207

Controles ActiveX ..................................................... 207 Applets de Java ....................................................... 208 Archivos EXE ............................................................. 208 Archivos ZIP............................................................... 208 Ejemplo: Bloquear applets de Java y archivos .exe................................................... 209
Acciones de ataque ..............................................164

Ejemplo: Acciones de ataque Close Server, Close, Close Client .............................................165
Registro de ataques ...............................................176

Ejemplo: Desactivar el registro por grupo de ataques.........................................................176
Captulo 6 Atributos de los paquetes sospechosos ..211

Fragmentos ICMP ...................................................212 Paquetes ICMP grandes .........................................214 Opciones IP incorrectas .........................................216 Protocolos desconocidos .......................................218 Fragmentos de paquetes IP ...................................220 Fragmentos SYN......................................................222
Asignacin de servicios personalizados a aplicaciones .......................................................179

Ejemplo: Asignar una aplicacin a un servicio personalizado ....................................................180 Ejemplo: Asignacin de aplicacin a servicio para ataques de HTTP ........................................184
Objetos de ataque y grupos personalizados.........187

Objetos de ataque de firma completa definidos por el usuario............................................................187 Expresiones regulares .........................................188 Ejemplo: Objetos de ataque de firma completa definidos por el usuario .....................191 Objetos de ataque de la firma de la secuencia TCP..........................................................195 Ejemplo: Objeto de ataque de firma de secuencia definido por el usuario ................196 Parmetros configurables de anomalas de protocolos ...........................................................198 Ejemplo: Modificacin de parmetros ..............198
Captulo 7 Prevencin de ataques de sobrefacturacin de GPRS ........................................225

Descripcin del ataque de sobrefacturacin .......226 Solucin al ataque de sobrefacturacin ...............228
Mdulo de NSGP...................................................... 228 Protocolo Gatekeeper de NetScreen....................... 228 Ejemplo: Configuracin de la funcin de prevencin de ataques de sobrefacturacin ... 230
Apndice A Contextos para firmas definidas por el usuario .....................................................................A-I ndice ......................................................................... IX-I
iii
Contenido
iv
Prefacio
En el Volumen 4, Mecanismos de deteccin de ataques y defensa se describen las opciones de seguridad de red NetScreen de Juniper Networks disponibles en ScreenOS. Muchas de ellas son opciones SCREEN que se pueden activar en el nivel de zona de seguridad. Las opciones SCREEN se aplican al trfico que llega al dispositivo NetScreen a travs de cualquier interfaz asociada a una zona para la que se hayan activado dichas opciones. Las opciones SCREEN ofrecen proteccin contra anlisis de puertos y direcciones IP, ataques de denegacin de servicio (DoS) y cualquier otro tipo de actividad maliciosa. Es posible aplicar otras opciones de seguridad de red, como el filtrado de URL, la comprobacin antivirus y la deteccin y prevencin de intrusiones (IDP), a nivel de directivas. Estas opciones slo se aplican al trfico que se encuentre bajo la jurisdiccin de las directivas en las que se activan. Nota: El objeto de las directivas slo se presenta en este volumen de forma perifrica, tal como se aplica a las opciones de seguridad de red que se pueden activar a nivel de directivas. Para examinar las directivas de forma completa, consulte Directivas en la pgina 2 -307. El material incluido en este volumen est organizado del siguiente modo: En el Captulo 1, Proteccin de una red se resumen las etapas bsicas de un ataque y las opciones de cortafuegos disponibles para combatir al atacante en cada etapa. En el Captulo 2, Bloqueo de reconocimiento se describen las opciones disponibles para bloquear el barrido de direcciones IP, los anlisis de puertos y los intentos de descubrir el tipo de sistema operativo (OS) del sistema objetivo del ataque. En el Captulo 3, Defensas contra los ataques de denegacin de servicio se explican los ataques DoS especficos de cada sistema operativo, red o cortafuegos, y cmo NetScreen amortigua estos ataques.
Prefacio
En el Captulo 4, Supervisin y filtrado de contenidos se describe cmo proteger a los usuarios del protocolo de transferencia de hipertexto (HTTP o Hypertext Transfer Protocol) y del protocolo de transferencia de archivos (FTP o File Transfer Protocol) frente a los localizadores de recursos uniformes (URL o Universal Resource Locator) maliciosos y cmo configurar el dispositivo NetScreen para el trabajo con productos de otros fabricantes con la finalidad de proporcionar anlisis antivirus y filtrado de URL. En el Captulo 5, Deep Inspection se describe cmo configurar el dispositivo NetScreen para obtener actualizaciones de objetos de ataque IDP, cmo crear objetos de ataque y grupos de objetos de ataque definidos por el usuario, y cmo aplicar IDP a nivel de directivas. En el Captulo 6, Atributos de los paquetes sospechosos se indican varias opciones SCREEN que protegen los recursos de red frente a potenciales ataques indicados por atributos de paquete IP e ICMP inusuales. En el Captulo 7, Prevencin de ataques de sobrefacturacin de GPRS se describe el ataque de sobrefacturacin de GPRS (overbilling) y se explica la solucin. En el Apndice A, Contextos para firmas definidas por el usuario se proporcionan descripciones de los contextos que se pueden especificar al definir un objeto de ataque de firma completa.
vi
Prefacio
Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones: Convenciones de la interfaz de lnea de comandos (CLI) Convenciones de la interfaz grfica (WebUI) en la pgina viii Convenciones para las ilustraciones en la pgina x Convenciones de nomenclatura y conjuntos de caracteres en la pgina xi
Convenciones de la interfaz de lnea de comandos (CLI)

Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de lnea de comandos (CLI): Los comandos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage significa establecer las opciones de administracin de la interfaz ethernet1, ethernet2 o ethernet3. Las variables aparecen en cursiva. Por ejemplo: set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables, que siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system para visualizar el nmero de serie de un dispositivo NetScreen. Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u joe j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
vii
Prefacio
Convenciones
Convenciones de la interfaz grfica (WebUI)

En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegacin de la WebUI por las que se pasa al hacer clic en opciones de men y vnculos. Por ejemplo, la ruta para abrir el cuadro de dilogo de configuracin de direcciones se representa como sigue: Objects > Addresses > List > New . A continuacin se muestra la secuencia de navegacin.
4 1 2 3
1. Haga clic en Objects en la columna de men. La opcin de men Objects se desplegar para mostrar las opciones subordinadas que contiene. 2. (Men Applet) Site el mouse sobre Addresses. (Men DHTML) Haga clic en Addresses. La opcin de men Addresses se desplegar para mostrar las opciones subordinadas que contiene.
3. Haga clic en List. Aparecer la tabla de libretas de direcciones. 4. Haga clic en el vnculo New. Aparecer el cuadro de dilogo de configuracin de nuevas direcciones.
viii
Prefacio
Convenciones
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos partes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguiente conjunto de instrucciones incluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes de configuracin que se deben realizar: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Address Name: addr_1
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
IP Address Name/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Haga clic en OK .
ix
Prefacio
Convenciones
Convenciones para las ilustraciones

Los siguientes grficos conforman el conjunto bsico de imgenes utilizado en las ilustraciones de este manual:
Red de rea local (LAN) con una nica subred (ejemplo: 10.1.1.0/24)
Dispositivo NetScreen genrico
Dominio de enrutamiento virtual
Internet
Zona de seguridad
Rango de direcciones IP dinmicas (DIP) Equipo de escritorio
Interfaces de zonas de seguridad Blanca = interfaz de zona protegida (ejemplo: zona Trust) Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust) Interfaz de tnel Tnel VPN Icono de enrutador (router)
Equipo porttil Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)
Servidor
Icono de conmutador (switch)
Prefacio
Convenciones
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidas en las configuraciones de ScreenOS. Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la cadena completa deber entrecomillarse mediante comillas dobles ( ); por ejemplo, set address trust local LAN 10.1.1.0/24 . NetScreen eliminar cualquier espacio al comienzo o al final de una cadena entrecomillada; por ejemplo, local LAN se transformar en local LAN. NetScreen tratar varios espacios consecutivos como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de la interfaz de lnea de comandos pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan.
ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador web. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
xi
Prefacio
Documentacin de NetScreen de Juniper Networks
DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentacin tcnica sobre cualquier producto NetScreen de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error o omisin en esta documentacin, pngase en contacto con nosotros a travs de la siguiente direccin de correo electrnico: techpubs-comments@juniper.net
xii
Captulo 1
Proteccin de una red
Puede haber numerosos motivos para penetrar en una red protegida. La siguiente lista contiene algunos objetivos comunes: Obtener el siguiente tipo de informacin sobre la red protegida: Topologa de la red Direcciones IP de los hosts activos Nmeros de los puertos activos de los hosts activos Sistema operativo de los hosts activos Colapsar un host de una red protegida con trfico fantasma para inducir una denegacin de servicio (DoS) Colapsar una red protegida con trfico fantasma para inducir un DoS en toda la red Colapsar un cortafuegos con trfico fantasma e inducir un DoS para la red a la que protege Provocar daos y robar datos de un host de la red protegida Conseguir acceso a un host de la red protegida para obtener informacin Lograr el control de un host para lanzar otros exploits Apoderarse de un cortafuegos para controlar el acceso a la red a la que protege ScreenOS ofrece herramientas de deteccin y defensa que permiten descubrir y frustrar los esfuerzos de los hackers por alcanzar los objetivos mencionados anteriormente cuando intentan atacar una red protegida por un dispositivo NetScreen. Este captulo proporciona en primer lugar una vista general de las principales etapas de un ataque y de los diversos mecanismos de defensa que se pueden emplear para frustrar un ataque en cualquier etapa: Etapas de un ataque en la pgina 2 Mecanismos de deteccin y defensa en la pgina 3 Supervisin de exploits en la pgina 5
1
Captulo 1 Proteccin de una red
Etapas de un ataque
ETAPAS DE UN ATAQUE
Normalmente, los ataques se desarrollan en dos etapas principales. En la primera etapa, el atacante recopila informacin; en la segunda etapa, lanza el ataque propiamente dicho. 1. Realizar el reconocimiento. 1. Asignar la red y determinar qu hosts estn activos (barrido de direcciones IP). 2. Averiguar qu puertos estn activos (anlisis de puertos) en los hosts detectados mediante el barrido de direcciones IP. 3. Determinar el sistema operativo (OS), con lo que se puede revelar una debilidad del OS o un tipo de ataque al que sea susceptible ese OS en particular. Lanzar el ataque. 1. Ocultar el origen del ataque. 2. Realizar el ataque. 3. Eliminar u ocultar las pruebas.
2.
Mecanismos de deteccin y defensa
MECANISMOS DE DETECCIN Y DEFENSA

Un exploit puede ser un simple rastreador para obtener informacin o un verdadero ataque con el que se pretende comprometer, bloquear o daar una red o un recurso de red. En algunos casos, no resulta sencillo establecer una clara distincin entre estos dos objetivos. Por ejemplo, una barrera de segmentos TCP SYN se puede utilizar como un barrido de direcciones IP con el propsito de desencadenar respuestas de los hosts activos, o como un ataque de inundacin SYN con el objetivo de colapsar una red para impedir su correcto funcionamiento. Es ms, como los hackers normalmente realizan un reconocimiento del objetivo antes de lanzar el ataque, podemos considerar las actividades de recopilacin de informacin como precursoras de un ataque inminente, e interpretar que constituyen la primera etapa de un ataque. Por lo tanto, el trmino exploit abarca tanto las actividades de reconocimiento como las de ataque; y la distincin entre ambas no siempre est clara. Juniper Networks ofrece diversos mtodos de deteccin y mecanismos de defensa a nivel de directivas y de zona para combatir exploits en todas sus etapas de ejecucin: 1 Opciones SCREEN a nivel de zona Directivas de cortafuegos a nivel de directivas de interzona, intrazona y superzona. (Se entiende por superzona las directivas globales en las que no se incluyen referencias a zonas de seguridad). Para ofrecer proteccin contra todos los intentos de conexin, los dispositivos NetScreen utilizan un mtodo de filtrado de paquetes dinmico conocido como inspeccin de estado. Mediante este mtodo, el dispositivo NetScreen detecta los diversos componentes del paquete IP y de los encabezados de segmentos TCP (direcciones IP de origen y de destino, nmeros de puertos de origen y de destino, y nmeros de secuencias de paquetes) y mantiene el estado de cada sesin TCP y seudo-sesin UDP que atraviese el cortafuegos. (El dispositivo NetScreen tambin modifica los estados de sesin basados en elementos cambiantes, como cambios de puertos dinmicos o terminacin de sesin). Cuando llega un paquete TCP de respuesta, el dispositivo NetScreen compara la informacin incluida en su encabezado con el estado de la sesin asociada almacenada en la tabla de inspeccin. Si coinciden, se permite que el paquete de respuesta atraviese el cortafuegos. De lo contrario, el paquete se descarta. Las opciones SCREEN de NetScreen aseguran una zona inspeccionando, y luego permitiendo o rechazando, todo intento de conexin que necesite atravesar una interfaz asociada a dicha zona. El dispositivo NetScreen aplica entonces directivas de cortafuegos que pueden contener componentes para el filtrado de contenidos y la deteccin y prevencin de intrusiones (IDP).
1. Aunque las zonas VLAN y MGT son zonas de funcin y no zonas de seguridad, es posible ajustar opciones SCREEN para ellas. La zona VLAN admite el mismo conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas de seguridad de capa 2 admiten una opcin adicional de inundacin SYN que las zonas de capa 3 no admiten: descartar direcciones MAC desconocidas). Como las siguientes opciones SCREEN no se aplican a la zona MGT, no estn disponibles para dicha zona: proteccin contra inundaciones SYN, proteccin contra la inundacin SYN-ACK-ACK del proxy, bloqueo de componentes HTTP y proteccin frente a ataques de WinNuke.
Mecanismos de deteccin y defensa
A continuacin se incluye un esquema de los conjuntos de mecanismos de defensa que ofrece un cortafuegos de NetScreen para la proteccin de una red:
Opciones de proteccin de red
Bloqueo de reconocimiento Barrido de direcciones IP Anlisis de puertos Rastreo del sistema operativo Tcnicas de evasin Supervisin y filtrado de contenidos Reensamblaje de fragmentos Anlisis antivirus Filtrado de URL Deep Inspection Defensas contra los ataques de denegacin de servicio Ataques DoS contra el cortafuegos Inundacin de la tabla de sesiones Inundacin proxy SYN-ACK-ACK Ataques DoS contra la red Inundacin SYN Inundacin ICMP Inundacin UDP Ataque terrestre (Land Attack) Ataques DoS especficos de cada sistema operativo Ping of Death Firmas completas Anomalas en el protocolo Bloqueo granular de los componentes de HTTP Prevencin de ataques de sobrefacturacin de GPRS Descripcin del ataque de sobrefacturacin Solucin al ataque de sobrefacturacin Ataque Teardrop WinNuke Atributos de los paquetes sospechosos
Fragmentos ICMP Paquetes ICMP grandes Opciones IP incorrectas
Protocolos desconocidos Fragmentos de paquetes IP Fragmentos SYN
Supervisin de exploits
Como ya hemos mencionado, los ajustes de proteccin de red de NetScreen operan a dos niveles: zona de seguridad y directiva. El dispositivo NetScreen ofrece defensas frente a ataques DoS y medidas de bloqueo de reconocimiento a nivel de zona de seguridad. En el rea de supervisin y filtrado de contenidos, el dispositivo NetScreen aplica un reensamblaje de fragmentos a nivel de zona y un anlisis antivirus (AV) y un filtrado de localizadores de recursos uniformes (URL) a nivel de directivas. El dispositivo NetScreen aplica IDP a nivel de directivas, excepto para la deteccin y el bloqueo de componentes HTTP, que se realiza a nivel de zona. Los ajustes de cortafuegos a nivel de zona son opciones SCREEN. Una opcin de proteccin de red ajustada en una directiva es un componente de dicha directiva.
SUPERVISIN DE EXPLOITS
Aunque normalmente se utiliza el dispositivo NetScreen para bloquear exploits, puede haber ocasiones en las que se desee obtener informacin sobre ellos. Es posible que desee estudiar detenidamente un exploit concreto para descubrir su intencin, su nivel de sofisticacin o incluso su origen (si el atacante es descuidado o poco sofisticado). Si desea obtener informacin sobre un exploit, puede dejar que acte, supervisarlo, analizarlo, investigarlo y reaccionar tal como se haya esbozado en un plan de respuesta ante incidentes preparado con anterioridad. Puede configurar el dispositivo NetScreen para que le notifique la existencia de un exploit, pero que, en lugar de tomar medidas, permita que el exploit se filtre. En tal caso, podr estudiar qu ha ocurrido e intentar comprender el mtodo, la estrategia y los objetivos del atacante. Cuanto mejor comprenda las amenazas que acechan la red, mejor podr fortificar sus defensas. Aunque un hacker astuto puede ocultar su ubicacin e identidad, tal vez sea capaz de averiguar la suficiente informacin como para determinar dnde se origin el ataque. Puede que tambin sea capaz de estimar las habilidades del atacante. Este tipo de informacin le permitir calcular su respuesta.
Supervisin de exploits
Ejemplo: Supervisin de ataques desde la zona Untrust

En este ejemplo, se han producido ataques de suplantacin de IP desde la zona Untrust a diario, normalmente entre las 21:00 y las 12:00. En lugar de descartar los paquetes con las direcciones IP de origen suplantadas, desea que el dispositivo NetScreen notifique su llegada pero les permita el paso, quizs conducindolas a un sistema 2 trampa conectado en la conexin de interfaz DMZ. A las 20:55, se modifica el comportamiento del cortafuegos para que notifique y acepte los paquetes pertenecientes a un ataque detectado en lugar de notificar y rechazarlos. Cada vez que se produzca el ataque, podr utilizar el sistema trampa para supervisar las actividades del atacante despus de atravesar el cortafuegos. Puede trabajar tambin en colaboracin con el ISP de subida para comenzar a rastrear la procedencia de los paquetes hasta su punto de origen.
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en Apply : Generate Alarms without Dropping Packet : (seleccione) IP Address Spoof Protection: (seleccione)
CLI
set zone untrust screen alarm-without-drop set zone untrust screen ip-spoofing save
2.
Un sistema trampa es un servidor de red que se utiliza como seuelo para atraer a los atacantes y registrar sus movimientos durante un ataque.
Captulo 2
Bloqueo de reconocimiento
Los atacantes pueden planificar mejor sus ataques si antes conocen el diseo de la red objetivo del ataque (qu direcciones IP tienen los hosts activos), los puntos de entrada posibles (qu nmeros de puertos estn activos en los hosts activos) y la constitucin de sus vctimas (qu sistema operativo se est ejecutando en los hosts activos). Para obtener esta informacin, es necesario realizar un reconocimiento. Juniper NetScreen ofrece varias opciones SCREEN para frustrar los intentos de reconocimiento de los atacantes e impedir que obtengan informacin valiosa sobre la red y los recursos de red protegidos. Barrido de direcciones IP en la pgina 8 Anlisis de puertos en la pgina 10 Reconocimiento de red mediante opciones IP en la pgina 12 Rastreo del sistema operativo en la pgina 16 Flags SYN y FIN activados en la pgina 16 Flag FIN sin flag ACK en la pgina 18 Encabezado TCP sin flags activados en la pgina 20 Tcnicas de evasin en la pgina 22 Anlisis FIN en la pgina 22 Flags no SYN en la pgina 23 Suplantacin de IP en la pgina 27 Opciones de IP de ruta de origen en la pgina 36
Captulo 2 Bloqueo de reconocimiento
Barrido de direcciones IP
BARRIDO DE DIRECCIONES IP
Se produce un barrido de direcciones cuando una direccin IP de origen enva 10 paquetes ICMP a distintos hosts en un intervalo definido (el valor predeterminado es 5000 microsegundos). El objetivo de este esquema es enviar paquetes ICMP (normalmente peticiones de eco) a varios hosts con la esperanza de que al menos uno responda, dejando al descubierto una direccin a la que apuntar. El dispositivo NetScreen registra de forma interna el nmero de paquetes ICMP enviados a diversas direcciones desde un origen remoto. Mediante los ajustes predeterminados, si un host remoto enva trfico ICMP a 10 direcciones en 0,005 segundos (5000 microsegundos), NetScreen lo marcar como un ataque de barrido de direcciones y rechazar todos los paquetes ICMP siguientes procedentes de dicho host hasta que transcurra el resto del segundo.
Origen: 2.2.2.5 (probablemente una direccin suplantada o un agente zombie) Untrust
ethernet3 1.1.1.1/24
ethernet2 1.2.2.1/24 DMZ
Paquetes ICMP 11 paquetes ICMP en 0,005 segundos (Recuerde que, a partir del dcimo paquete ICMP, el dispositivo NetScreen registra un barrido de direcciones IP y rechaza el paquete undcimo). Dir. origen 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 2.2.2.5 Dir. destino 1.2.2.5 1.2.2.160 1.2.2.84 1.2.2.211 1.2.2.10 1.2.2.20 1.2.2.21 1.2.2.240 1.2.2.17 1.2.2.123 1.2.2.6 El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros paquetes ICMP procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos paquetes, el dispositivo NetScreen los marca como no vlidos y los elimina de la tabla de sesiones en el siguiente barrido de basura, que se realiza cada dos segundos. A partir del dcimo paquete, el dispositivo NetScreen rechaza todo el trfico ICMP procedente de 2.2.2.5.
Rechazado Nota: Un agente zombie es un host comprometido bajo el control encubierto de un atacante.
Barrido de direcciones IP
Estudie la activacin de esta opcin SCREEN para una zona de seguridad slo si existe una directiva que permita el trfico ICMP procedente de dicha zona. De lo contrario, no es necesario activarla. Si no existe tal directiva, se rechaza todo el trfico ICMP procedente de la zona, impidiendo a los atacantes que realicen un barrido de direcciones IP con xito. Para bloquear los barridos de direcciones IP originados en una zona de seguridad en concreto, utilice una de las siguientes soluciones:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : IP Address Sweep Protection: (seleccione) Threshold: (introduzca un valor que active la proteccin contra barridos de direcciones IP1)
CLI
set zone zone screen port-scan threshold number set zone zone screen ip-sweep
1.
El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.
Anlisis de puertos
ANLISIS DE PUERTOS
Un anlisis de puertos se produce cuando una direccin IP de origen enva paquetes IP con segmentos TCP SYN a 10 puertos distintos en la misma direccin IP de destino en un intervalo definido (5000 microsegundos es el valor predeterminado). El objetivo de este esquema es analizar los servicios disponibles con la esperanza de que al menos un puerto responda, identificando un servicio al que dirigir su ataque. El dispositivo NetScreen registra de forma interna el nmero de los diversos puertos analizados desde un origen remoto. Mediante los ajustes predeterminados, si un host remoto analiza 10 puertos en 0,005 segundos (5000 microsegundos), NetScreen lo marcar como un ataque de anlisis de puertos y rechazar todos los paquetes procedentes del origen remoto (independientemente de la direccin IP de destino) hasta que transcurra el resto del segundo.
Origen: 2.2.2.5 (probablemente una direccin suplantada o un agente zombie) Untrust
DMZ Destino: 1.2.2.5 El dispositivo NetScreen realiza una entrada en su tabla de sesiones para los 10 primeros intentos de conexin a 1.2.2.5 procedentes de 2.2.2.5 y realiza una consulta de rutas y una consulta de directivas para ellos. Si ninguna directiva permite estos intentos de conexin, el dispositivo NetScreen los marca como no vlidos y los elimina de la tabla de sesiones en el siguiente barrido de basura, que se realiza cada dos segundos. A partir del dcimo intento, el dispositivo NetScreen rechaza todos los intentos de conexin procedentes de 2.2.2.5.
Paquetes IP con segmentos TCP SYN 11 segmentos SYN en 0,005 segundos (Recuerde que, a partir del dcimo paquete IP con segmentos TCP SYN destinado a diversos puertos de la misma direccin IP de destino, el dispositivo NetScreen lo registra como anlisis de puertos y rechaza todos los paquetes procedentes de la direccin de origen). Rechazado Dir. origen:puerto 2.2.2.5:17820 2.2.2.5:42288 2.2.2.5:22814 2.2.2.5:15401 2.2.2.5:13373 2.2.2.5:33811 2.2.2.5:17821 2.2.2.5:19003 2.2.2.5:26450 2.2.2.5:38087 2.2.2.5:24111 Dir. destino:puerto 1.2.2.5:21 1.2.2.5:23 1.2.2.5:53 1.2.2.5:80 1.2.2.5:111 1.2.2.5:113 1.2.2.5:123 1.2.2.5:129 1.2.2.5:137 1.2.2.5:138 1.2.2.5:139
10
Anlisis de puertos
Para bloquear los anlisis de puertos originados en una zona de seguridad en concreto, utilice una de las siguientes soluciones:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : Port Scan Protection: (seleccione) Threshold: (introduzca un valor que active la proteccin contra anlisis de puertos2)
CLI
set zone zone screen port-scan threshold number set zone zone screen port-scan
2.
El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.
11
Reconocimiento de red mediante opciones IP
RECONOCIMIENTO DE RED MEDIANTE OPCIONES IP

La norma de protocolo de Internet RFC 791, Internet Protocol especifica una serie de opciones que ofrecen controles de enrutamiento, herramientas de diagnstico y medidas de seguridad especiales. Estas opciones aparecen despus de la direccin de destino en un encabezado de paquetes IP.
Encabezado IP
Versin Tamao del encabezado Tipo de servicio 0 Protocolo D Tamao total del paquete (en bytes) M Desplazamiento del fragmento 20 bytes
Identificacin Tiempo de vida (Time to Live o TTL)
Suma de comprobacin del encabezado Direccin de origen
Direccin de destino Opciones Carga de datos
La norma RFC 791 admite que estas opciones no son necesarias para las comunicaciones ms comunes y, en realidad, rara vez aparecen en encabezados de paquetes IP. Cuando aparecen, normalmente estn vinculadas a un uso con propsitos perniciosos. A continuacin se incluye una lista de todas las opciones IP y los atributos que las acompaan:
Tipo End of Options No Options Clase 0* 0 Nmero Tamao 0 1 0 0 Uso intencionado Indica el final de una o ms opciones IP. Ninguno Uso pernicioso
Indica que no hay opciones IP en el Ninguno encabezado.
12
Tipo Security
Clase 0
Nmero Tamao 2
Uso intencionado
Uso pernicioso Desconocido, pero como se trata de una opcin obsoleta, su presencia en un encabezado IP resulta sospechosa.
11 bits Ofrece un medio para que los hosts enven seguridad, compartimentacin, parmetros TCC (grupo de usuarios cerrado) y cdigos de restriccin de uso compatibles con los requisitos del Ministerio de defensa (DoD) de Estados Unidos. (Esta opcin, tal como se especifica en las normas RFC 791, Internet Protocols y RFC 1038, Revised IP Security Option est obsoleta). Variable Especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite atravesar otros enrutadores intermedios. Variable Registra las direcciones IP de los dispositivos de red del itinerario que recorre el paquete IP. El equipo de destino puede extraer y procesar la informacin de ruta. (Debido a la limitacin de espacio de 40 bytes tanto para la opcin como para el espacio de almacenamiento, slo se puede registrar un mximo de 9 direcciones IP).
Loose Source Route
Evasin. El atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete u obtener acceso a una red protegida. (Consulte Opciones de IP de ruta de origen en la pgina 36).
Record Route
Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del atacante, ste puede obtener informacin sobre la topologa y el esquema de direccionamiento de la red atravesada por el paquete.
13
Tipo Stream ID
Clase 0
Nmero Tamao 8 4 bits
Uso intencionado (Obsoleta) Ofreca un medio para que el identificador de secuencia SATNET de 16 bits se transportara por redes incompatibles con el concepto de secuencia.
Uso pernicioso Desconocido, pero como se trata de una opcin obsoleta, su presencia en un encabezado IP resulta sospechosa. Evasin. Un atacante puede utilizar las rutas especificadas para ocultar el verdadero origen de un paquete u obtener acceso a una red protegida. (Consulte Opciones de IP de ruta de origen en la pgina 36). Reconocimiento. Si el host de destino es un equipo comprometido bajo el control del atacante, ste puede obtener informacin sobre la topologa y el esquema de direccionamiento de la red atravesada por el paquete.
Strict Source Route
Variable Especifica la lista de la ruta completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La ltima direccin de la lista sustituye a la direccin del campo de destino. Registra la hora (en formato de horario universal ) en la que cada dispositivo de red recibe el paquete durante su itinerario desde el punto de origen al de destino. Los dispositivos de red se identifican por su nmero IP. Esta opcin desarrolla una lista de direcciones IP de los enrutadores del itinerario del paquete y la duracin de transmisin entre cada uno de ellos.
Timestamp
La clase de opciones identificada como 0 estaba diseada para proporcionar control de red o paquetes adicionales. La clase de opciones identificada como 2 se dise para el diagnstico, la depuracin y la medicin. La marca de hora utiliza el nmero de milisegundos desde la media noche en horario universal (UT). Este horario tambin se denomina horario medio de Greenwich (GMT) y es la base para la norma horaria internacional.
14
Las siguientes opciones SCREEN detectan las opciones IP que un atacante puede utilizar para el reconocimiento o cualquier otro propsito desconocido, pero sospechoso: Record Route: el dispositivo NetScreen detecta paquetes en los que la opcin IP sea 7 (Record Route) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Timestamp: el dispositivo NetScreen detecta paquetes en los que la lista de opciones IP incluya la opcin 4 (Internet Timestamp) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Security: el dispositivo NetScreen detecta paquetes en los que la opcin IP sea 2 (Security) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Stream ID: el dispositivo NetScreen detecta paquetes en los que la opcin IP sea 8 (Stream ID) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada.
Para detectar paquetes con las opciones IP anteriores ajustadas, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : IP Record Route Option Detection: (seleccione) IP Timestamp Option Detection: (seleccione) IP Security Option Detection: (seleccione) IP Stream Option Detection: (seleccione)
CLI
set set set set zone zone zone zone zone zone zone zone screen screen screen screen ip-record-route ip-timestamp-opt ip-security-opt ip-stream-opt
15
Rastreo del sistema operativo
RASTREO DEL SISTEMA OPERATIVO

Antes de lanzar un exploit, es posible que un atacante intente rastrear el host al que se dirige el ataque para averiguar qu sistema operativo (OS) utiliza. Conociendo este dato, puede decidir con mejor criterio qu ataque lanzar y qu vulnerabilidades aprovechar. Un dispositivo NetScreen puede bloquear los rastreos de reconocimiento utilizados habitualmente para obtener informacin sobre los tipos de OS.
Flags SYN y FIN activados

Los flags de control SYN y FIN no estn activados normalmente en el mismo encabezado de segmento TCP. El flag SYN sincroniza nmeros de secuencia para el inicio de una conexin TCP. El flag FIN indica el final de la transmisin de datos para la terminacin de una conexin TCP. Sus propsitos se excluyen mutuamente. Un encabezado TCP con los flags SYN y FIN activados representa un comportamiento TCP anmalo y puede provocar varias respuestas del destinatario en funcin del OS.
Encabezado TCP
Nmero de puerto de origen de 16 bits Nmero de puerto de destino de 16 bits
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado de 4 bits Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits 20 bytes
Suma de comprobacin de TCP de 16 bits Opciones (si las hay) Datos (si los hay) Los flags SYN y FIN estn activados.
16
Un atacante puede enviar un segmento con ambos flags activados para ver qu tipo de respuesta de sistema se devuelve y determinar de este modo qu tipo de OS se utiliza en el punto de destino. A continuacin, el atacante puede emplear cualquier vulnerabilidad conocida del sistema para futuros ataques. Al activar esta opcin SCREEN, el dispositivo NetScreen comprueba si los flags SYN y FIN estn activados en encabezados TCP. Si descubre un encabezado de tales caractersticas, descarta el paquete. Para bloquear paquetes con los flags SYN y FIN activados, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN and FIN Bits Set Protection y haga clic en Apply .
CLI
set zone zone screen syn-fin
17
Flag FIN sin flag ACK

Los segmentos TCP con el flag de control FIN activado (para sealar el final de una sesin y terminar la conexin) suelen tener tambin activado el flag ACK (para acusar recibo del paquete anterior). Como la existencia de un encabezado TCP con el flag FIN activado y el flag ACK desactivado representa un indicio de comportamiento TCP 3 anmalo, no existe una respuesta uniforme ante este hecho . Es posible que el OS reaccione enviando un segmento TCP con el flag RST activado. Tambin es posible que lo ignore completamente. La respuesta de la vctima puede proporcionar informacin sobre el OS al atacante. (Otros motivos para enviar un segmento TCP con el flag FIN activado pueden ser evadir la deteccin durante un anlisis de puertos y direcciones o burlar las defensas destinadas a prevenir inundaciones SYN provocando una inundacin FIN en su lugar. Para obtener ms informacin sobre los anlisis FIN, consulte Anlisis FIN en la pgina 22).
Encabezado TCP
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado de 4 bits Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits Opciones (si las hay) Datos (si los hay) Slo est activado el flag FIN. 20 bytes
Suma de comprobacin de TCP de 16 bits
3.
Los proveedores han interpretado la norma RFC 793 Transmission Control Protocol (protocolo de control de la transmisin) de diversas formas a la hora de disear las implementaciones TCP/IP. Cuando se recibe un segmento TCP con el flag FIN activado y el flag ACK sin activar, determinadas implementaciones envan segmentos RST. Otras descartan el paquete sin enviar ningn segmento RST.
18
Al activar esta opcin SCREEN, el dispositivo NetScreen comprueba si el flag FIN est activado y el flag ACK est desactivado en encabezados TCP. Si descubre un paquete con este tipo de encabezado, descarta el paquete. Para bloquear paquetes con el flag FIN activado y el flag ACK desactivado, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FIN Bit with No ACK Bit in Flags Protection y haga clic en Apply .
CLI
set zone zone screen fin-no-ack
19
Encabezado TCP sin flags activados

Un encabezado de segmento TCP normal tiene al menos un flag de control activado. Un segmento TCP sin flags de control activados representa un evento anmalo. Puesto que cada sistema operativo reacciona de forma distinta a tal anomala, la respuesta (o la falta de respuesta) del dispositivo objetivo puede dar indicios del tipo de OS que se est ejecutando.
Encabezado TCP
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado de 4 bits Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits 20 bytes
Suma de comprobacin de TCP de 16 bits Opciones (si las hay) Datos (si los hay) No hay ningn flag activado.
Si el dispositivo NetScreen est habilitado para detectar encabezados de segmento TCP sin flags activados, descartar todos los paquetes TCP que carezcan de campo de flags o que tengan un campo de flags mal formado.
20
Para bloquear los paquetes que no tengan ningn flag activado, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCP Packet without Flag Protection y haga clic en Apply .
CLI
set zone zone screen tcp-no-flag
21
Tcnicas de evasin
TCNICAS DE EVASIN
Ya sea mientras recopila informacin o lanza un ataque, el atacante normalmente necesita evitar que lo detecten. Aunque ciertos anlisis de direcciones IP y puertos son tan descarados que se pueden detectar fcilmente, algunos atacantes con mayores recursos utilizar una gran cantidad de medios para ocultar su actividad. Tcnicas tales como la utilizacin de anlisis FIN en lugar de anlisis SYN (que los atacantes saben que la mayora de cortafuegos y programas de deteccin de intrusiones detectan) indican una evolucin en las tcnicas de reconocimiento y explotacin de vulnerabilidades con el objetivo de eludir la deteccin y llevar a cabo sus acciones.
Anlisis FIN
Un anlisis FIN enva segmentos TCP con el flag FIN activado para intentar provocar una respuesta (un segmento TCP con el flag RST activado) y as descubrir un host activo o un puerto activo en un host. El atacante puede utilizar este mtodo, no para realizar un barrido de direcciones con peticiones de eco ICMP o un anlisis de direcciones con segmentos SYN, sino porque sabe que muchos cortafuegos se defienden contra estos dos ltimos, pero no necesariamente contra los segmentos FIN. Si se utilizan segmentos TCP con el flag FIN activado se puede evadir la deteccin, permitiendo as que el atacante tenga xito en su intento de reconocimiento. Para frustrar un anlisis FIN, puede ejecutar cualquiera de las siguientes acciones o ambas: Habilitar la opcin SCREEN que bloquea especficamente segmentos TCP con el flag FIN activado, pero no el flag ACK, lo que no es normal en un segmento TCP: WebUI: Screening > Screen: Seleccione la zona a la que desea aplicar esta opcin SCREEN en la lista desplegable Zone y seleccione FIN Bit With No ACK Bit in Flags Protection . CLI: Escriba set zone name screen fin-no-ack , donde name es el nombre de la zona a la que desea aplicar esta opcin SCREEN . Cambie el comportamiento de procesamiento de paquetes para rechazar todos los paquetes no SYN que no pertenezcan a una sesin existente, mediante el comando CLI: set flow tcp-syn-check . (Para obtener ms informacin sobre la comprobacin del flag SYN, consulte la siguiente seccin, Flags no SYN en la pgina 23). Nota: Cambiando el flujo de paquetes para comprobar que el flag SYN est activado para los paquetes no pertenecientes a sesiones existentes tambin se frustran otros tipos de anlisis no SYN, tales como los anlisis nulos (null scan, es decir, cuando no hay ningn flag de TCP activo).
22
Tcnicas de evasin
Flags no SYN
De forma predeterminada4, el dispositivo NetScreen comprueba si hay flags SYN en el primer paquete de una sesin y rechaza cualquier segmento TCP con flags distintos de SYN que intenten iniciar una sesin. Puede dejar este flujo de paquetes tal cual o cambiarlo para que el dispositivo NetScreen no fuerce la comprobacin de flags SYN antes de crear una sesin. A continuacin se muestran las secuencias de flujo de los paquetes cuando se 5 inhabilita y habilita la comprobacin de flag SYN : Con la comprobacin de flag SYN habilitada
Llega un paquete a la interfaz de entrada
Con la comprobacin de flag SYN inhabilitada

Llega un paquete a la interfaz de entrada
Consulta de sesiones
En sesin
Actualizacin de sesiones
ADELANTE
Consulta de sesiones
En sesin
Actualizacin de sesiones
ADELANTE
No en sesin
No en sesin
Consulta de directivas
Permitir
Comprobar flag SYN
Creacin de sesiones
ADELANTE
Consulta de directivas
Permitir
Creacin de sesiones
ADELANTE
Denegar DESCARTAR
4.
No DESCARTAR
Denegar DESCARTAR
De forma predeterminada, la comprobacin de flags SYN de TCP en el paquete inicial de una sesin se habilita al instalar un dispositivo NetScreen que ejecute ScreenOS 5.1.0. Si se actualiza desde una versin anterior a ScreenOS 5.1.0, la comprobacin de SYN permanece desactivada de forma predeterminada (a menos que haya cambiado previamente el comportamiento predeterminado). Estos flujos de paquetes son los mismos si la interfaz de entrada est funcionando en la capa 3 (ruta o modo NAT) o en la capa 2 (modo transparente).
5.
23
Tcnicas de evasin
Cuando el dispositivo NetScreen con la comprobacin de flags SYN est activado recibe un segmento TCP distinto de SYN que no pertenece a una sesin existente, descarta el paquete y enva un TCP RST al host de origen (a menos que el bit de cdigo del paquete TCP inicial distinto de SYN sea tambin RST). En ese caso, el dispositivo NetScreen descarta simplemente el paquete. La comprobacin de SYN se puede habilitar e inhabilitar con los siguientes comandos CLI: set flow tcp-syn-check unset flow tcp-syn-check No comprobar el flag SYN en los primeros paquetes ofrece las siguientes ventajas: NSRP con enrutamiento asimtrico: En una configuracin NSRP activa/activa en un entorno de enrutamiento dinmico, un host puede enviar el segmento inicial TCP con el flag SYN activado a un dispositivo NetScreen (NetScreen-A), pero la seal SYN/ACK podra enrutarse al otro dispositivo NetScreen del clster (NetScreen-B). Si este enrutamiento asimtrico se produce despus de que NetScreen-A haya sincronizado su sesin con NetScreen-B, todo est en orden. Por el contrario, si la respuesta SYN/ACK llega a NetScreen-B antes de que NetScreen-A haya sincronizado la sesin y la comprobacin de SYN est habilitada, NetScreen-B rechaza SYN/ACK, lo que impide establecer la sesin. Con la comprobacin de SYN inhabilitada, NetScreen-B acepta la respuesta SYN/ACK (aunque no pertenezca a ninguna sesin existente) y crea para ella una nueva entrada en la tabla de sesiones. Sesiones no interrumpidas: Si la comprobacin de SYN est habilitada y se agrega un dispositivo NetScreen en modo transparente a una red operativa, se interrumpen todas las sesiones existentes, que debern reiniciarse6. Esta interrupcin puede ser muy molesta para sesiones muy largas, como las de transferencias de datos o las de copias de seguridad de grandes bases de datos. De forma similar, si se restablece el dispositivo NetScreen o incluso se cambia un componente en la seccin central de una directiva7 y la comprobacin de SYN est habilitada, todas las sesiones existentes (o las sesiones a las que afecte la modificacin de la directiva) se interrumpirn y debern ser reiniciadas. Inhabilitar la comprobacin de SYN evita esas interrupciones al trfico de la red.
6. 7.
Una solucin a esta situacin es instalar el dispositivo NetScreen con la comprobacin de SYN inicialmente inhabilitada. Transcurridas algunas horas (cuando las sesiones establecidas se estn ejecutando a travs del dispositivo NetScreen), habilite la comprobacin de SYN. La seccin central de una directiva contiene los siguientes componentes principales: zonas de origen y de destino, direcciones de origen y de destino, uno o ms servicios y una accin.
24
Tcnicas de evasin
Sin embargo, observe que las ventajas indicadas requieren los siguientes sacrificios en seguridad: Agujeros de reconocimiento: Cuando un segmento TCP inicial con un flag que no sea SYN (como ACK, URG, RST, FIN) llega a un puerto cerrado, muchos sistemas operativos (Windows, por ejemplo) responden con un segmento TCP cuyo flag RST est activado. Si el puerto est abierto, el receptor no genera ninguna respuesta. Analizando las respuestas o la ausencia de stas, un recopilador de inteligencia puede realizar un reconocimiento en la red protegida y tambin en el conjunto de directivas de NetScreen. Si despus enva un segmento TCP con un flag no SYN activado y la directiva le permite el paso, el host de destino del segmento podra descartarlo y responder con un segmento TCP cuyo flag RST est activado. Tal respuesta informa al intruso sobre la presencia de un host activo en una direccin especfica y le indica que el nmero de puerto de destino est cerrado. El recopilador de inteligencia tambin averigua que la directiva del cortafuegos permite acceder a ese nmero de puerto en ese host. Con la comprobacin del flag SYN habilitada, el dispositivo NetScreen descarta los segmentos TCP que no tengan flag SYN siempre que no pertenezcan a una sesin existente. El dispositivo no devolver un segmento TCP RST. Por lo tanto, el escner no obtendr ninguna respuesta, sea cual sea el conjunto de directivas o tanto si el puerto est abierto como cerrado en el host de destino. Inundaciones de tablas de sesiones: Si la comprobacin de SYN est inhabilitada, un atacante puede evitar la funcin de proteccin contra inundaciones SYN de NetScreen inundando una red protegida con una cantidad ingente de segmentos TCP que tengan flags que no sean SYN activados. Aunque los hosts atacados descartarn los paquetes (y posiblemente enven segmentos TCP RST como respuesta), tal inundacin podra llenar la tabla de sesiones del dispositivo NetScreen. Con la tabla de sesiones llena, el dispositivo NetScreen no puede procesar nuevas sesiones de trfico legtimo. Habilitando la comprobacin de SYN y la proteccin contra inundaciones SYN, se puede frustrar esta clase de ataques. La comprobacin de si el flag SYN est activado en el paquete inicial de una sesin fuerza a todas las nuevas sesiones a comenzar con un segmento TCP que tenga el flag SYN activado. A continuacin, la proteccin contra inundaciones SYN limita el nmero de segmentos TCP SYN por segundo para evitar saturaciones en la tabla de sesiones. Nota: Para obtener informacin sobre las inundaciones de la tabla de sesiones, consulte Inundacin de la tabla de sesiones en la pgina 42. Para obtener ms informacin sobre inundaciones SYN, consulte Inundacin SYN en la pgina 52.
25
Tcnicas de evasin
Si no necesita desactivar la comprobacin de SYN, Juniper Networks le recomienda dejarla activada (su estado predeterminado en una instalacin inicial de ScreenOS 5.1.0). Puede activarla con el comando siguiente: set flow tcp-syn-check . Con la comprobacin de SYN habilitada, el dispositivo NetScreen rechaza los segmentos TCP con flags no SYN activados, salvo que pertenezcan a una sesin establecida.
26
Tcnicas de evasin
Suplantacin de IP
Un mtodo para intentar acceder a un rea restringida de la red es insertar una direccin de origen falsa en el encabezado del paquete para que parezca que procede de un lugar de origen confiable. Esta tcnica se conoce como suplantacin de IP (IP Spoofing). Para detectar esta tcnica, NetScreen dispone de dos mtodos con el mismo objetivo: determinar si el paquete procede de una ubicacin distinta de la indicada en el encabezado. El mtodo que utilizar el dispositivo NetScreen depender de si funciona en la capa 3 o en la capa 2 del modelo OSI. Capa 3: cuando las interfaces del dispositivo NetScreen funcionan en modo de ruta o en modo NAT, el mecanismo para detectar la suplantacin de IP depender de las entradas de la tabla de rutas. Si, por ejemplo, un paquete con la direccin IP de origen 10.1.1.6 llega a ethernet3, pero el dispositivo NetScreen tiene una ruta a 10.1.1.0/24 a travs de ethernet1, la comprobacin de suplantacin de IP detectar que esta direccin ha llegado a una interfaz no vlida, ya que segn la definicin de la tabla de rutas un paquete vlido procedente de 10.1.1.6 slo puede llegar a travs de ethernet1, no de ethernet3. As, el dispositivo concluye que el paquete es una direccin IP de origen suplantada y la descarta.
2. Como la proteccin contra suplantacin de IP est activada en la zona Untrust, el dispositivo NetScreen comprueba si 10.1.1.6 es una direccin IP de origen vlida para los paquetes que llegan a ethernet3.
1. Un paquete IP llega a ethernet3. Su direccin IP de origen es 10.1.1.6. Paquete IP con IP origen 10.1.1.6
1 3
Zona Untrust
2
X
3. Si al consultar la tabla de rutas observa que 10.1.1.6 no es una direccin IP de origen vlida para un paquete que llega a ethernet3, el dispositivo NetScreen rechazar el paquete.
Tabla de rutas
ID 1
Zona Trust ethernet1 10.1.1.1/24
Prefijo IP 10.1.10/24
Interfaz eth1
Puerta de enlace 0.0.0.0
P C
Subred: 10.1.1.0/24
27
Tcnicas de evasin
Si la direccin IP de origen de un paquete no aparece en la tabla de rutas, el dispositivo NetScreen permite su paso de forma predeterminada (asumiendo que existe una directiva que lo permite). Si utiliza el siguiente comando CLI (donde la zona de seguridad especificada ser la zona de donde proceden los paquetes), puede hacer que el dispositivo NetScreen descarte cualquier paquete cuya direccin IP de origen no se incluya en la tabla de rutas: set zone zone screen ip-spoofing drop-no-rpf-route Capa 2: si las interfaces del dispositivo NetScreen funcionan en modo transparente, el mecanismo de comprobacin de suplantacin de IP utilizar las entradas de la libreta de direcciones. Por ejemplo, ha definido una direccin para serv A como 1.2.2.5/32 en la zona V1-DMZ. Si un paquete con la direccin IP de origen 1.2.2.5 llega a una interfaz de la zona V1-Untrust (ethernet3), la comprobacin de suplantacin de IP detectar que esta direccin ha llegado a una interfaz incorrecta. La direccin pertenece a la zona V1-DMZ y no a la zona V1-Untrust, por lo que slo se aceptara en ethernet2, que es la interfaz asociada a V1-DMZ. El dispositivo concluye que el paquete es una direccin IP de origen suplantada y la descarta.
2. Como la proteccin contra suplantacin de IP est activada en la zona V1-Untrust, el dispositivo NetScreen comprueba si 1.2.2.5 es una direccin IP de origen vlida para los paquetes procedentes de la zona V1-Untrust.
1. Un paquete IP llega procedente de la zona V1-Untrust. Su direccin IP de origen es 10.2.2.5. Paquete IP con IP origen 10.2.2.5
Zona V1-Untrust
2
ethernet3 0.0.0.0/0 Nombre de zona de direccin: V1-DMZ
3. Si al consultar la libreta de direcciones observa que 1.2.2.5 no es una direccin IP de origen vlida para un paquete procedente de la zona V1-Untrust, el dispositivo NetScreen rechazar el paquete.
X
Subred: 1.2.2.0/24 serv A 1.2.2.5 ethernet2 0.0.0.0/0 Zona V1-DMZ
Nombre serv A
Direccin Mscara de red 1.2.2.5 255.255.255.255
28
Tcnicas de evasin
Tenga cuidado al definir direcciones para la subred que abarca varias zonas de seguridad. En la ilustracin anterior, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust como a la zona V1-DMZ. Si configura el dispositivo NetScreen tal y como se describe a continuacin, bloquear el trfico procedente de la zona V1-DMZ cuyo paso desea permitir: Ha definido una direccin para 1.2.2.0/24 en la zona V1-Untrust. Dispone de una directiva que permite el trfico desde cualquier direccin de la zona V1-DMZ hacia cualquier direccin de la zona V1-Untrust ( set policy from v1-dmz to v1-untrust any any any permit ). Habilita la comprobacin de suplantacin de IP. Como las direcciones de la zona V1-DMZ tambin se encuentran en la subred 1.2.2.0/24, cuando el trfico procedente de esas direcciones llegue a ethernet2, la comprobacin de suplantacin de IP consultar la libreta de direcciones y encontrar 1.2.2.0/24 en la zona V1-Untrust. En consecuencia, el dispositivo NetScreen bloquear el trfico.
29
Tcnicas de evasin
Ejemplo: Proteccin contra suplantacin de IP en la capa 3

En este ejemplo habilitar la proteccin contra suplantacin de direcciones IP en las zonas Trust, DMZ y Untrust para un dispositivo NetScreen que funciona en la capa 3. De forma predeterminada, el dispositivo NetScreen realiza entradas automticamente en la tabla de rutas para las subredes especificadas en las direcciones IP de interfaz. Adems de estas entradas automticas en la tabla de rutas, deber introducir manualmente las siguientes tres rutas:
Destino: 10.1.2.0/24 1.2.3.0/24 0.0.0.0/0 Interfaz de salida: ethernet1 ethernet2 ethernet3 Siguiente puerta de enlace: 10.1.1.250 1.2.2.250 1.1.1.250
Si habilita la opcin SCREEN para proteccin contra suplantacin de direcciones IP pero no indica estas tres rutas, el dispositivo NetScreen descartar todo trfico de las direcciones que aparecen en la columna Destino e insertar las alarmas correspondientes en el registro de eventos. Por ejemplo, si un paquete con la direccin de origen 10.1.2.5 llega a ethernet1 y no hay ninguna ruta a la subred 10.1.2.0/24 a travs de ethernet1, el dispositivo NetScreen determinar que ese paquete ha llegado a una interfaz no vlida y lo descartar. Todas las zonas de seguridad de este ejemplo se encuentran en el dominio de enrutamiento trust-vr.
Enrutador 10.1.1.250 ethernet1 10.1.1.1/24 ethernet2 1.2.2.1/24 10.1.2.0/24 10.1.1.0/24 1.1.1.0/24 0.0.0.0/0 ethernet3 1.1.1.1/24 Enrutador 1.1.1.250
Zona Trust 1.2.3.0/24 Zona DMZ 1.2.2.0/24
Zona Untrust
Enrutador 1.2.2.250
30
Tcnicas de evasin
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
2.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.1.2.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.250
31
Tcnicas de evasin
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 1.2.3.0/24 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 1.2.2.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
3.
Proteccin contra suplantacin de IP

Screening > Screen (Zone: Trust): Seleccione IP Address Spoof Protection y haga clic en Apply . Screening > Screen (Zone: DMZ): Seleccione IP Address Spoof Protection y haga clic en Apply . Screening > Screen (Zone: Untrust): Seleccione IP Address Spoof Protection y haga clic en Apply .
32
Tcnicas de evasin
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2.
Rutas
set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250 set vrouter trust-vr route 1.2.3.0/24 interface ethernet2 gateway 1.2.2.250 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
3.

set zone trust screen ip-spoofing set zone dmz screen ip-spoofing set zone untrust screen ip-spoofing save
33
Tcnicas de evasin
Ejemplo: Proteccin contra suplantacin de IP en la capa 2

En este ejemplo protegeremos la zona V1-DMZ contra la suplantacin de direcciones IP en el trfico originado en la zona V1-Untrust. En primer lugar debemos definir las siguientes direcciones para los tres servidores web de la zona V1-DMZ: servA: 1.2.2.10 servB: 1.2.2.20 servC: 1.2.2.30
Ahora puede habilitar la proteccin en la zona V1-Untrust. Si un atacante en la zona V1-Untrust intenta suplantar la direccin IP utilizando cualquiera de las tres direcciones de la zona V1-DMZ, el dispositivo NetScreen comprobar la direccin comparndola con las direcciones de la libreta de direcciones. Cuando descubra que la direccin IP de origen en un paquete procedente de la zona V1-Untrust pertenece a una direccin definida en la zona V1-Untrust. el dispositivo NetScreen rechazar el paquete.
WebUI
1. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: servA IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.10/32 Zone: V1-DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: servB IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.20/32 Zone: V1-DMZ
34
Tcnicas de evasin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: servC IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.30/32 Zone: V1-DMZ
2.

Screening > Screen (Zone: V1-Trust): Seleccione IP Address Spoof Protection y haga clic en Apply .
CLI
1. Direcciones
set address v1-dmz servA 1.2.2.10/32 set address v1-dmz servB 1.2.2.20/32 set address v1-dmz servC 1.2.2.30/32
2.

set zone v1-untrust screen ip-spoofing save
35
Tcnicas de evasin
Opciones de IP de ruta de origen

El enrutamiento de origen ha sido diseado para que, desde el origen de una transmisin de paquetes IP, el usuario pueda especificar las direcciones IP de los enrutadores (tambin conocidos como saltos) a lo largo de la ruta que desee que un paquete IP siga para llegar a su destino. La intencin original de las opciones IP de ruta de origen era ofrecer herramientas de control de enrutamiento como ayuda al anlisis de diagnsticos. Por ejemplo, si la transmisin de un paquete a un destino en particular se realiza con un nivel de xito irregular, puede utilizar la opcin IP de marca de hora o de grabacin de ruta para averiguar las direcciones de los enrutadores del itinerario o los itinerarios seguidos por el paquete. A continuacin, puede utilizar la opcin de ruta de origen estricta o de ruta de origen abierta para conducir el trfico por un itinerario especfico, utilizando las direcciones averiguadas mediante la opcin IP de marca de hora o de grabacin de ruta. Modificando las direcciones de enrutador para cambiar el itinerario y enviando diversos paquetes por distintos itinerarios puede tomar nota de los cambios que contribuyen a aumentar o reducir las posibilidades de xito. Mediante el anlisis y un proceso de eliminacin, es posible que pueda deducir dnde reside el problema.
Opciones IP de ruta de origen para diagnstico A Cuatro enrutadores Itinerario del paquete 2 4
B La transmisin de A a B mediante los enrutadores 1 y 3 se realiza con xito el 50% de las ocasiones.
1 A 2
3 B 4 Mediante el enrutamiento de origen IP, A enva trfico a travs de los enrutadores 2 y 3. La transmisin de A a B se realiza con xito el 50% de las ocasiones.
1 A 2
3 B 4 Mediante el enrutamiento de origen IP, A enva trfico a travs de los enrutadores 1 y 4. La transmisin de A a B se realiza con xito el 100% de las ocasiones. Por lo tanto, podemos suponer que el problema reside en el enrutador 3. 36
Tcnicas de evasin
Aunque la aplicacin de las opciones IP de ruta de origen era benigna originalmente, los hackers han aprendido a utilizar estas opciones con malas intenciones. Las opciones IP de ruta de origen se pueden emplear para ocultar la direccin autntica del atacante y acceder a reas restringidas de una red especificando una ruta distinta. A continuacin se incluye un ejemplo en el que se muestra cmo un atacante puede poner en prctica estos engaos.
Opcin IP de ruta de origen abierta para un acceso malicioso 1 2.2.2.0/24 Sin comprobacin de suplantacin de IP Sin control de acceso Itinerario del paquete 2 4 IP asignada: 1.1.1.5 - 10.1.1.5 Directiva: set policy from untrust to trust 2.2.2.0/24 MIP(1.1.1.5) HTTP permit Entre las opciones SCREEN para la zona Untrust se incluye Deny IP Source Route Option. El dispositivo NetScreen descarta el paquete.
Cuatro enrutadores 3
ethernet3 1.1.1.1/24 Zona Untrust
ethernet1 10.1.1.1/24 Zona Trust
Servidor HTTP 10.1.1.5
10.1.1.0/24
Atacante Informacin del paquete Direccin de origen real: 6.6.6.5 Direccin de origen simulada: 2.2.2.5 Direccin de destino: 1.1.1.5 IP de ruta de origen abierta: 6.6.6.250, 2.2.2.250
El cortafuegos de NetScreen slo permite el trfico 2.2.2.0/24 si pasa a travs de ethernet1, una interfaz asociada a la zona Untrust. Los enrutadores 3 y 4 fuerzan el control de acceso, pero los enrutadores 1 y 2 no lo hacen. Adems, el enrutador 2 no comprueba la posible suplantacin de IP. El atacante suplanta la direccin de origen y, al utilizar la opcin de ruta de origen abierta, dirige el paquete a travs del enrutador 2 hasta la red 2.2.2.0/24 y, desde all, al enrutador 1. ste reenva el paquete al enrutador 3, que lo reenva hasta el dispositivo NetScreen. Como el paquete procede de la subred 2.2.2.0/24 y contiene una direccin de origen de esa subred, aparece como vlido. Sin embargo, hay algo clave que an no cuadra: la opcin de ruta de origen abierta. En este ejemplo, ha habilitado la opcin SCREEN Deny IP Source Route Option para la zona Untrust. Cuando el paquete llega a ethernet3, el dispositivo NetScreen lo rechaza.
37
Tcnicas de evasin
El dispositivo NetScreen se puede habilitar para que bloquee cualquier paquete con opciones de ruta de origen abiertas o estrictas o para que los detecte y, a continuacin, registre el evento en la lista de contadores para la interfaz de entrada. A continuacin se ofrecen las opciones SCREEN: Deny IP Source Route Option (denegar opcin de ruta de origen IP): Active esta opcin para bloquear todo el trfico IP que emplee la opcin de rutas de origen abierta o estricta. Las opciones de ruta de origen pueden llegar a permitir a un atacante entrar en una red con una direccin IP falsa. Detect IP loose Source Route option (detectar opcin IP de ruta de origen abierta): El dispositivo NetScreen detecta paquetes en los que la opcin IP sea 3 (Loose Source Routing) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Esta opcin especifica una lista de rutas parcial que debe tomar un paquete en su trayecto desde el punto de origen al de destino. El paquete debe avanzar en el orden de direcciones especificado, pero se le permite atravesar otros enrutadores intermedios. Detect IP strict Source Route option (detectar opcin IP de ruta de origen estricta): El dispositivo NetScreen detecta paquetes en los que la opcin IP sea 9 (Strict Source Routing) y registra el evento en la lista de contadores SCREEN para la interfaz de entrada. Esta opcin especifica la lista de rutas completa que debe tomar un paquete en su trayecto desde el punto de origen al de destino. La ltima direccin de la lista sustituye a la direccin del campo de destino. (Para obtener ms informacin sobre todas las opciones IP, consulte Reconocimiento de red mediante opciones IP en la pgina 12). Para bloquear paquetes con la opcin IP de ruta de origen abierta o estricta ajustada, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP Source Route Option Filter y haga clic en Apply .
CLI
set zone zone screen ip-filter-src
38
Tcnicas de evasin
Para detectar y registrar (pero no bloquear) paquetes con la opcin IP de ruta de origen abierta o estricta ajustada, utilice uno de los siguientes mtodos (la zona de seguridad especificada es la zona en la que se origin el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : IP Loose Source Route Option Detection: (seleccione) IP Strict Source Route Option Detection: (seleccione)
CLI
set zone zone screen ip-loose-src-route set zone zone screen ip-strict-src-route
39
Tcnicas de evasin
40
Captulo 3
Defensas contra los ataques de denegacin de servicio
La intencin de un ataque de denegacin de servicio (DoS) es abrumar a la vctima potencial con tal cantidad de trfico simulado que se sature intentando procesar el trfico fantasma y no consiga procesar el trfico legtimo. El destino del ataque puede ser el cortafuegos de NetScreen, los recursos de red cuyos accesos controla el cortafuegos o la plataforma de hardware o el sistema operativo especfico (OS) de un determinado host. Cuando un ataque DoS se origina en mltiples direcciones de origen, se conoce como ataque distribuido de denegacin de servicio (Distributed Denial-of-Service o DDoS). Normalmente, la direccin de origen de un ataque DoS es una direccin suplantada (spoofed). Las direcciones de origen de un ataque DDoS pueden ser direcciones suplantadas o bien las direcciones reales de hosts previamente comprometidos por el atacante y que ste utiliza ahora como agentes zombie para ejecutar su ataque. El dispositivo NetScreen puede defenderse de ataques DoS y DDoS tanto a s mismo como a los recursos que protege. Las siguientes secciones describen las diversas opciones de defensa disponibles: Ataques DoS contra el cortafuegos en la pgina 42 Inundacin de la tabla de sesiones en la pgina 42 Inundacin proxy SYN-ACK-ACK en la pgina 50 Ataques DoS contra la red en la pgina 52 Inundacin SYN en la pgina 52 Inundacin ICMP en la pgina 67 Inundacin UDP en la pgina 69 Ataque terrestre (Land Attack) en la pgina 71 Ataques DoS especficos de cada sistema operativo en la pgina 73 Ping of Death en la pgina 73 Ataque Teardrop en la pgina 75 WinNuke en la pgina 77
41
Captulo 3 Defensas contra los ataques de denegacin de servicio
Ataques DoS contra el cortafuegos
ATAQUES DOS CONTRA EL CORTAFUEGOS

Si un atacante descubre la presencia del cortafuegos de NetScreen, puede ejecutar un ataque de denegacin de servicio (DoS) contra ese dispositivo, en lugar de intentar atacar a la red que se encuentra detrs. Un ataque DoS que tenga xito contra un cortafuegos desembocar en otro ataque DoS con xito contra la red protegida, frustrando los intentos del trfico legtimo para atravesar el cortafuegos. En esta seccin se explican dos mtodos que un atacante puede utilizar para llenar la tabla de sesiones de un dispositivo NetScreen y, de ese modo, producir una DoS: Inundacin de la tabla de sesiones e Inundacin proxy SYN-ACK-ACK.
Inundacin de la tabla de sesiones

Un ataque DoS acertado abruma a su vctima con una cantidad tan ingente de trfico falso que le impide procesar las peticiones de conexin legtimas. Los ataques DoS pueden adoptar muchas formas (inundacin SYN, inundacin SYN-ACK-ACK, inundacin UDP, inundacin ICMP, etc.), pero todos persiguen el mismo objetivo: llenar la tabla de sesiones de su vctima. Cuando la tabla de sesiones se llena, el host ya no puede crear ninguna sesin nueva y comienza a rechazar nuevas peticiones de conexin. La siguiente opcin de SCREEN ayuda a atenuar esos ataques: Lmites de sesiones segn sus orgenes y destinos Envejecimiento agresivo
Lmites de sesiones segn sus orgenes y destinos

Adems de limitar el nmero de sesiones simultneas procedentes de la misma direccin IP de origen, tambin se puede limitar el nmero de sesiones simultneas hacia la misma direccin IP de destino. Una ventaja de establecer un lmite de sesin basado en su origen es que permite contener un ataque como el del virus Nimda (que realmente es un virus y un gusano a la vez), que infecta un servidor y lo utiliza para generar cantidades masivas de trfico. Dado que todo el trfico generado por un virus procede de la misma direccin IP, un lmite de sesin basado en su origen garantiza que el cortafuegos de NetScreen pueda retener tales cantidades excesivas de trfico.
42
Limitacin de sesiones segn su origen: Contencin del trfico del virus/gusano Nimda
Zona Untrust
Un servidor web se infecta con el hbrido del virus/gusano Nimda, que lo utiliza para generar cantidades excesivas de trfico.
Zona DMZ
Servidor infectado
Cuando el nmero de sesiones simultneas del servidor infectado alcanza el lmite mximo, el dispositivo NetScreen comienza a bloquear todos los intentos de conexin subsiguientes de ese servidor.
Otra ventaja de limitar una sesin basndose en su origen es reducir el nmero de intentos ilegtimos de llenar la tabla de sesiones de NetScreen (siempre que todos esos intentos de conexin procedan de la misma direccin IP de origen). Sin embargo, un atacante astuto podra ejecutar un ataque distribuido de denegacin de servicio (DDoS). En un ataque DDoS, el trfico malvolo puede proceder de centenares de hosts, conocidos como agentes zombie, que estn subrepticiamente bajo el control de un atacante. Adems de las opciones de deteccin de inundaciones SYN, UDP e ICMP y de prevencin SCREEN, estableciendo un lmite de sesin basado en su destino se puede garantizar que el dispositivo NetScreen admita solamente un nmero aceptable de peticiones de conexin simultneas (sin importar su origen) para alcanzar cualquier host.
43
Limitacin de sesiones segn su origen: Ataque de denegacin de servicio Atacante Host inexistente IP origen: 6.6.6.6 Zona Untrust Agentes zombie
Limitacin de sesiones segn su destino: Ataque de denegacin de servicio distribuido Atacante
Zona Untrust
Zona DMZ Servidor web Cuando el nmero de sesiones simultneas procedentes de 6.6.6.6 sobrepasa el lmite mximo, el dispositivo NetScreen bloquea cualquier conexin subsiguiente de esa direccin IP.
Zona DMZ Servidor web Cuando el nmero de sesiones simultneas al servidor web sobrepasa el lmite mximo, el dispositivo NetScreen bloquea cualquier intento de conexin subsiguiente a esa direccin IP.
Determinar cul es el nmero aceptable de peticiones de conexin requiere un periodo de observacin y anlisis para establecer una base de referencia con la que determinar los flujos de trfico tpicos. Tambin se debe tener en cuenta el nmero mximo de sesiones simultneas requeridas para llenar la tabla de sesiones de la plataforma NetScreen que se est utilizando. Para consultar el nmero mximo de sesiones admitido por su tabla de sesiones, ejecute el comando CLI get session y observe la primera lnea del resultado, en la que se indica el nmero de sesiones (asignadas) actuales, el nmero mximo de sesiones y el nmero de asignaciones de sesin infructuosas: alloc 420/max 128000, alloc failed 0 El mximo predeterminado para los lmites de sesiones segn su origen y en su destino es de 128 sesiones simultneas, un valor que puede requerir ajustes para satisfacer las necesidades especficas de su entorno de red y plataforma.
44
Ejemplo: Limitacin de sesiones segn su origen

En este ejemplo limitar el nmero de sesiones que cualquier servidor de las zonas DMZ y Trust puede iniciar. Dado que la zona DMZ solamente contiene servidores web, ninguno de los cuales debera iniciar trfico, establecer el lmite de sesiones de origen en el valor ms bajo posible: 1 sesin. Por otra parte, la zona Trust contiene computadoras personales, servidores, impresoras y otros dispositivos, muchos de los cuales inician trfico. Para la zona Trust, establecer el lmite de sesiones de origen en un mximo de 80 sesiones simultneas.
WebUI
Screening > Screen (Zone: DMZ): Introduzca los siguientes datos y haga clic en OK : Source IP Based Session Limit: (seleccione) Threshold: 1 Sessions Screening > Screen (Zone: Trust): Introduzca los siguientes datos y haga clic en OK : Source IP Based Session Limit: (seleccione) Threshold: 80 Sessions
CLI
set zone set zone set zone set zone save dmz screen limit-session source-ip-based 1 dmz screen limit-session source-ip-based trust screen limit-session source-ip-based 80 trust screen limit-session source-ip-based
45
Ejemplo: Limitacin de sesiones segn su destino

En este ejemplo, desea limitar la cantidad de trfico dirigido a un servidor web en la direccin 1.2.2.5. El servidor se encuentra en la zona DMZ. Despus de observar el flujo de trfico de la zona Untrust a este servidor durante un mes, ha determinado que el nmero medio de sesiones simultneas que recibe es 2000. De acuerdo con esta informacin, decide establecer el nuevo lmite de sesiones en 4000 sesiones simultneas. Aunque sus observaciones muestran que durante los picos de trfico a veces se excede ese lmite, opta por garantizar la seguridad del cortafuegos a costa de alguna inaccesibilidad ocasional del servidor.
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : Destination IP Based Session Limit: (seleccione) Threshold: 4000 Sessions
CLI
set zone untrust screen limit-session destination-ip-based 4000 set zone untrust screen limit-session destination-ip-based save
Envejecimiento agresivo
De forma predeterminada, el establecimiento de comunicacin inicial en 3 fases de una sesin TCP tarda 20 segundos en caducar (es decir, en expirar por inactividad). Una vez establecida una sesin TCP, el valor del tiempo de espera cambia a 30 minutos. Para sesiones HTTP y UDP, los tiempos de espera son de 5 minutos y 1 minuto, respectivamente. El temporizador de cada sesin se inicia al comenzar sta y se actualiza cada 10 segundos mientras la sesin permanece activa. Si una sesin queda inactiva durante ms de 10 segundos, el temporizador comienza la cuenta atrs.
46
NetScreen proporciona un mecanismo para acelerar el proceso del tiempo de espera cuando el nmero de sesiones en la tabla de sesiones sobrepasa un umbral superior especificado. Cuando el nmero de sesiones cae por debajo de un umbral inferior especificado, el proceso del tiempo de espera vuelve a su estado normal. Mientras el proceso de envejecimiento agresivo est activo, el dispositivo NetScreen forzar primero el envejecimiento de las sesiones ms antiguas, aplicndoles la tasa de envejecimiento previamente especificada. Estas sesiones de envejecimiento forzado se marcan como no vlidas y se eliminan en el siguiente barrido de basura, que ocurre cada 2 segundos. La opcin de envejecimiento agresivo reduce los tiempos de espera predeterminados de las sesiones en la 1 magnitud introducida . El valor de envejecimiento agresivo puede estar entre 2 y 10 unidades, donde cada unidad representa un intervalo de 10 segundos (es decir, el ajuste de envejecimiento agresivo puede tener un valor de 20 a 100 segundos). El ajuste predeterminado es de 2 unidades, equivalentes a 20 segundos. Si, por ejemplo, establece el ajuste de envejecimiento agresivo en 100 segundos, acortar los tiempos de espera de sesiones HTTP y TCP de la siguiente manera: TCP: El valor del tiempo de espera de la sesin se acorta de 1800 segundos (30 minutos) a 1700 segundos (28:20 minutos) mientras el proceso de envejecimiento agresivo est activo. Durante ese periodo, el dispositivo NetScreen elimina automticamente todas las sesiones TCP cuyo valor de tiempo de espera haya superado los 1700 segundos, comenzando por las sesiones ms antiguas.
25 1500 20 1200 15 900 10 600 5 300 0 0
30 Tiempo espera predeterminado en sesin TCP: 30 min (1800 seg) Min Envejecimiento agresivo = 10 (predeterminado - 100 seg): 28:20 Mins (1700 Secs) Seg 1800
1.
Al establecer y habilitar la opcin de envejecimiento agresivo, en la configuracin seguirn apareciendo los valores normales de los tiempos de espera de cada tipo de sesin (1800 segundos para sesiones TCP, 300 segundos para sesiones HTTP y 60 segundos para sesiones UDP). Sin embargo, cuando se activa el periodo de envejecimiento agresivo, estas sesiones caducan antes (aplicando el tiempo especificado para envejecimientos prematuros en lugar de la cuenta atrs hasta cero).
47
HTTP: El valor del tiempo de espera de la sesin se acorta de 300 segundos (5 minutos) a 200 segundos (3:20 minutos) mientras el proceso de envejecimiento agresivo est activo. Durante ese periodo, el dispositivo NetScreen elimina automticamente todas las sesiones HTTP cuyo valor de tiempo de espera haya superado los 200 segundos, comenzando por las sesiones ms antiguas.
5 300 4 240 3 180 2 120 1 60 0 0
Min Tiempo de espera predeterminado de la sesin HTTP: 5 min (300 seg) Envejecimiento agresivo = 10 (predeterminado - 100 seg): 3:20 Mins (200 Secs) Seg
UDP: Dado que el tiempo de espera predeterminado de una sesin UDP es de 60 segundos, definiendo un ajuste de envejecimiento prematuro de 100 segundos se provoca que todas las sesiones UDP envejezcan y queden marcadas para su eliminacin en el siguiente barrido de basura.
48
Ejemplo: Forzar el envejecimiento agresivo de sesiones

En este ejemplo establecer que el proceso de envejecimiento agresivo comience cuando el trfico supere un umbral superior del 80% y finalice cuando caiga por debajo de un umbral inferior del 70%. Especificar 40 segundos como intervalo de envejecimiento agresivo. Cuando la tabla de sesiones se llena ms del 80% (el umbral superior), el dispositivo NetScreen reduce en 40 segundos el tiempo de espera de todas las sesiones y comienza a forzar agresivamente el envejecimiento de las sesiones ms antiguas hasta que el nmero de sesiones en la tabla cae por debajo del 70% (el umbral inferior).
Capacidad de la 100% tabla de sesiones 80% 70%
Cuando el nmero de sesiones supera la capacidad del 80%, se activa el mecanismo de envejecimiento agresivo. Umbral superior Umbral inferior Sesiones Se fuerza el envejecimiento de las sesiones hasta que su nmero cae por debajo del 70%. En ese momento, el mecanismo de envejecimiento agresivo se detiene. Envejecimiento agresivo (- 40 seg de envejecimiento forzado)
0%
WebUI
Nota: Para configurar los ajustes de envejecimiento agresivo debe usar la interfaz de lnea de comandos (CLI).
CLI
set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging early-ageout 4 save
49
Inundacin proxy SYN-ACK-ACK

Cuando un usuario de autenticacin inicia una conexin Telnet o FTP, enva un segmento SYN al servidor Telnet o FTP correspondiente. El dispositivo NetScreen intercepta el segmento SYN, crea una entrada en su tabla de sesiones y enva al usuario un segmento SYN-ACK a travs del proxy. El usuario responde entonces con un segmento ACK. En ese momento se completa el establecimiento inicial de comunicacin en 3 fases. El dispositivo NetScreen enva al usuario un mensaje de peticin de inicio de sesin. Si el usuario malvolo contina iniciando sesiones SYN-ACK-ACK en lugar de iniciar la sesin, la tabla de sesiones de NetScreen puede llenarse hasta el punto en que el dispositivo comience a rechazar peticiones de conexin legtimas.
Cliente Telnet o FTP (usuario de autenticacin) 1. El cliente enva un segmento SYN al servidor. 2. El dispositivo NetScreen enva un segmento SYN/ACK a travs del proxy. 3. El cliente responde con un segmento ACK. 4. El dispositivo NetScreen solicita al cliente (usuario de autenticacin) que inicie una sesin. 5. El cliente ignora el mensaje de peticin de inicio de sesin y sigue repitiendo los pasos 1 a 4 hasta llenar la tabla de sesiones de NetScreen. 6. Al estar la tabla de sesiones completa, el dispositivo NetScreen debe rechazar todas las dems peticiones de conexin. Zona Untrust 1 SYN SYN/ACK 3 ACK Nombre: ? Contrasea: ? 5 SYN SYN/ACK ACK Nombre: ? Contrasea: ? La tabla de sesiones se est llenando. 4 2 Tabla de sesiones de NetScreen: Muchos recursos disponibles Servidor Telnet o FTP Zona Trust
. . .
6 SYN
La tabla de sesiones est llena.
50
Para frustrar tal ataque, puede habilitar la opcin SCREEN de proteccin SYN-ACK-ACK del proxy. Cuando el nmero de conexiones procedentes de una misma direccin IP alcanza el umbral de SYN-ACK-ACK del proxy, el dispositivo NetScreen rechaza las peticiones de conexin subsiguientes de esa direccin IP. De forma predeterminada, el umbral es de 512 conexiones de una determinada direccin IP. Puede cambiar este umbral (a cualquier nmero entre 1 y 250.000) para adaptarse mejor a los requisitos de su entorno de red. Para habilitar la proteccin contra una inundacin SYN-ACK-ACK del proxy, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : SYN-ACK-ACK Proxy Protection: (seleccione) Threshold: (introduzca un valor para activar la proteccin contra la 2 inundacin SYN-ACK-ACK del proxy )
CLI
set zone zone screen syn-ack-ack-proxy threshold number set zone zone screen syn-ack-ack-proxy
2.
La unidad de este valor se expresa en conexiones por direccin de origen. El valor predeterminado es de 512 conexiones de una determinada direccin IP.
51
Ataques DoS contra la red
ATAQUES DOS CONTRA LA RED

Un ataque de denegacin de servicio (DoS) dirigido contra unos o ms recursos de red inunda el destino con una cantidad abrumadora de paquetes SYN, ICMP o UDP, o de fragmentos SYN. Dependiendo del objetivo del atacante y del nivel y xito de los esfuerzos de prevencin realizados hasta ese momento, el atacante puede seleccionar un host especfico, como un enrutador o un servidor, o bien seleccionar hosts de forma aleatoria en la red atacada. Cualquiera de las dos tcticas tiene el potencial de trastornar el servicio a un solo host o a la red entera, dependiendo de la importancia del papel desempeado por la vctima en el contexto de su red.
Inundacin SYN
Una inundacin SYN ocurre cuando un host resulta tan saturado con segmentos SYN que inician peticiones de conexin irrealizables que le resulta imposible procesar peticiones de conexin legtimas. Dos hosts establecen una conexin TCP con triple intercambio de segmentos TCP, conocido como establecimiento de conexin en tres fases: A enva un segmento SYN a B; B responde con un segmento SYN; A responde con un segmento ACK. Un ataque de inundacin SYN inunda un sitio con segmentos SYN que contienen direcciones IP de origen falsificadas (suplantadas o spoofed), es decir, inexistentes o inalcanzables. B responde enviando segmentos SYN/ACK a estas direcciones y espera segmentos ACK de respuesta. Como los segmentos SYN/ACK se envan a direcciones IP inexistentes o inalcanzables, nunca obtienen respuesta y acaban por superar el tiempo de espera.
Direccin IP real 2.2.2.5 Direccin IP inexistente o inalcanzable 3.3.3.5 SYN El host en 2.2.2.5 enva segmentos SYN en paquetes IP con direcciones de origen suplantadas. Si una directiva permite el trfico entrante, el dispositivo NetScreen permite los segmentos SYN. La vctima responde enviando segmentos SYN/ACK a la direccin IP de origen simulada, quedando a la espera de respuesta hasta que los intentos caducan. LAN protegida
?
4.4.4.20 5.5.5.10 6.6.6.3
SYN/ACK SYN SYN/ACK SYN SYN/ACK SYN SYN/ACK
? ? ?
El bfer de memoria de la vctima comienza a llenarse.
52
Inundando un host con conexiones TCP no completables, el atacante acabar por llenar el bfer de memoria de la vctima. Cuando este bfer se llena, el host ya no puede procesar nuevas peticiones de conexin TCP. La inundacin puede incluso daar el sistema operativo de la vctima. En cualquier caso, el ataque inhabilita a la vctima y sus operaciones normales.
Proteccin contra inundaciones SYN

Los dispositivos NetScreen pueden imponer un lmite al nmero de segmentos SYN a los que se permite atravesar el cortafuegos cada segundo. Puede definir el umbral de ataque en funcin de la direccin de destino y el puerto, slo en funcin de la direccin de destino o slo en funcin de la direccin de origen. Cuando el nmero de segmentos SYN por segundo supera uno de estos umbrales, el dispositivo NetScreen inicia el procesamiento de segmentos SYN entrantes mediante el proxy, respondiendo con segmentos SYN/ACK y almacenando las peticiones de conexin incompletas en una cola de conexiones. Las peticiones de conexin incompletas permanecen en la cola hasta que la conexin se haya completado o la peticin haya caducado. En la ilustracin siguiente, se ha atravesado el umbral de ataque SYN y el dispositivo NetScreen ha comenzado a procesar segmentos SYN mediante el proxy.
Direccin IP real 2.2.2.5 Direccin IP inexistente o inalcanzable 7.7.7.11 SYN El host con la direccin 2.2.2.5 contina enviando segmentos SYN en paquetes IP con direcciones de origen suplantadas.
?
8.8.8.8 9.9.9.22
SYN/ACK SYN SYN/ACK Umbral de ataque SYN
LAN protegida
2.2.2.4
SYN
?
3.3.3.25 SYN
SYN/ACK
SYN/ACK
. . .
Cuando el nmero de segmentos SYN procedentes de una misma direccin de origen o dirigidos a la misma direccin de destino alcanza un umbral especificado, el dispositivo NetScreen comienza a interceptar las peticiones de conexin y a procesar los segmentos SYN/ACK mediante el proxy.
El bfer de memoria de la vctima deja de llenarse.
La cola de conexiones procesada por proxy del dispositivo NetScreen comienza a llenarse. 53
En la siguiente ilustracin, la cola de conexiones procesada por proxy se ha llenado totalmente y el dispositivo NetScreen rechaza nuevos segmentos SYN entrantes. Esta accin blinda los hosts de la red protegida contra el bombardeo de establecimientos de conexin en tres fases incompletos.
Direccin IP real 2.2.2.5 Direccin IP inexistente o inalcanzable 3.3.3.5 Umbral de ataque SYN SYN El dispositivo NetScreen intercepta los segmentos SYN y procesa por proxy las respuestas SYN/ACK hasta que la cola de conexiones procesada por proxy se llena. El host con la direccin 2.2.2.5 contina enviando segmentos SYN en paquetes IP con la direccin de origen suplantada 3.3.3.5.
LAN protegida
?
SYN
SYN/ACK
El bfer de memoria de la vctima recupera su estado normal.
? . . .
SYN/ACK
Umbral de alarma El dispositivo NetScreen introduce una alarma en el registro de eventos. La cola de conexiones procesada por proxy del dispositivo NetScreen est llena.
Limite mximo de la cola de conexiones procesada por proxy El dispositivo NetScreen rechaza nuevos segmentos SYN de todas las direcciones de la misma zona de seguridad.
SYN Segmento SYN de otra direccin de la misma zona de seguridad.
El dispositivo NetScreen inicia la recepcin de nuevos paquetes SYN cuando la cola del proxy cae por debajo del lmite mximo. Nota: El procedimiento de procesar por proxy las conexiones SYN incompletas por encima de un umbral establecido afecta solamente al trfico permitido por las directivas existentes. Cualquier trfico para el que no exista una directiva se descarta automticamente.
Juniper Networks NetScreen conceptos y ejemplos Volumen 4: Mecanismos de deteccin de ataques y defensa 54
Para habilitar la opcin SCREEN de proteccin contra inundaciones SYN y definir sus parmetros, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que puede originarse una inundacin:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : SYN Flood Protection: (seleccione para habilitar) Threshold: (introduzca el nmero de segmentos SYN (es decir, de segmentos TCP con el flag SYN activado) requeridos por segundo para 3 activar el mecanismo de procesamiento de SYN por proxy ) Alarm Threshold: (introduzca el nmero de peticiones de conexin TCP procesadas por proxy requeridas para generar una alarma en el registro de eventos) Source Threshold: (introduzca el nmero de paquetes SYN por segundo procedentes de una determinada direccin IP que se requiere para que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin de ese origen) Destination Threshold: (introduzca el nmero de paquetes SYN por segundo dirigidos a una determinada direccin IP que se requiere para que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin hacia ese destino) Timeout Value: (introduzca la duracin en segundos que el dispositivo NetScreen mantiene un intento de conexin TCP incompleto en la cola de conexiones procesada por proxy) Queue Size: (introduzca el nmero de peticiones de conexin TCP procesadas por proxy que se mantienen en la cola de conexiones procesada por proxy antes de que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin)
3.
Para obtener ms detalles sobre cada uno de estos parmetros, consulte las descripciones en la siguiente seccin de CLI.
55
CLI
Para habilitar la proteccin contra inundaciones SYN: set zone zone screen syn-flood Para procesar por proxy las peticiones de conexin TCP inacabadas puede establecer los siguientes parmetros: Attack Threshold: El nmero de segmentos SYN (es decir, segmentos TCP con el flag SYN activado) dirigidos a la misma direccin de destino y nmero de puerto requeridos por segundo para activar el mecanismo de procesamiento de SYN por proxy. Aunque se puede ajustar el umbral en cualquier nmero, es necesario conocer los patrones de trfico habituales en cada instalacin para establecer un umbral adecuado. Por ejemplo, en un sitio e-business que normalmente recibe 20.000 segmentos SYN por segundo, conviene establecer un umbral de, por ejemplo, 30.000 por segundo. Si un sitio ms pequeo recibe habitualmente 20 segmentos SYN por segundo, plantese establecer el umbral en 40. set zone zone screen syn-flood attack-threshold number Alarm Threshold: El nmero de peticiones de conexin TCP semicompletas procesadas por proxy por segundo que el dispositivo NetScreen espera para introducir una alarma en el registro de eventos. El valor establecido para un umbral de alarma dispara una alarma cuando el nmero por segundo de peticiones de conexin semicompletadas y procesadas por proxy dirigidas a la misma direccin de destino y nmero de puerto supera ese valor. Por ejemplo, si se establece el umbral de ataque SYN en 2000 segmentos SYN por segundo y la alarma en 1000, se requiere un total de 3001 segmentos SYN por segundo dirigidos a la misma direccin de destino y nmero de puerto para generar una entrada de alarma en el registro. Ms precisamente: 1. El cortafuegos deja pasar los primeros 2000 segmentos SYN por segundo que cumplen los requisitos de las directivas. 2. El cortafuegos procesa por proxy los 1000 segmentos SYN siguientes en el mismo segundo. 3. La 1001 peticin de conexin procesada por proxy (o la 3001 peticin de conexin en ese mismo segundo) dispara la alarma. set zone zone screen syn-flood alarm-threshold number
56
Por cada segmento SYN dirigido a la misma direccin y nmero de puerto de destino que sobrepase el umbral de alarma, el mdulo de deteccin de ataques genera un mensaje. Al final del segundo, el mdulo de registro comprime todos los mensajes similares en una sola entrada del registro que indica cuntos segmentos SYN dirigidos a la misma direccin y nmero de puerto de destino llegaron despus de haberse rebasado el umbral de alarma. Si el ataque persiste ms all del primer segundo, el registro de eventos introduce una alarma cada segundo hasta que el ataque se detenga. Source Threshold: Esta opcin permite especificar el nmero de segmentos SYN que deben recibirse por segundo de una determinada direccin IP de origen (sin tener en cuenta la direccin IP y el nmero de puerto de destino) antes de que el dispositivo NetScreen comience a descartar peticiones de conexin de ese origen. set zone zone screen syn-flood source-threshold number El seguimiento de una inundacin SYN por su direccin de origen utiliza otros parmetros de deteccin que el seguimiento de una inundacin SYN por direccin y nmero de puerto de destino. Cuando se establece un umbral de ataque SYN y un umbral de origen, se activan tanto el mecanismo bsico de proteccin contra inundaciones SYN como el mecanismo de seguimiento de inundaciones SYN basado en sus orgenes. Destination Threshold: Esta opcin permite especificar el nmero de segmentos SYN por segundo que puede recibir una determinada direccin IP de destino antes de que el dispositivo NetScreen comience a descartar peticiones de conexin a ese destino. Cuando un host protegido ejecuta mltiples servicios, conviene establecer un umbral basado exclusivamente en la direccin IP de destino, sin importar el nmero de puerto de destino. set zone zone screen syn-flood destination-threshold number Cuando se establece un umbral de origen SYN y un umbral de destino, se activan tanto el mecanismo bsico de proteccin contra inundaciones SYN como el mecanismo de seguimiento de inundaciones SYN basado en sus destinos. El seguimiento de una inundacin SYN por su direccin de destino utiliza otros parmetros de deteccin que el seguimiento de una inundacin SYN por direccin y nmero de puerto de destino. Observe el caso siguiente, donde el dispositivo NetScreen tiene directivas que permiten realizar peticiones FTP (puerto 21) y peticiones HTTP (puerto 80) al mismo servidor. Si el umbral de ataque para inundaciones SYN es de
57
1000 paquetes por segundo (pps) y un atacante enva 999 paquetes FTP y 999 paquetes HTTP por segundo, ninguno de ambos conjuntos de paquetes (entendiendo por conjunto los paquetes que comparten la misma direccin y nmero de puerto de destino) activa el mecanismo de procesamiento de SYN por proxy. El mecanismo bsico de ataque de inundacin SYN realiza el seguimiento de direcciones y nmeros de puerto de destino, y ninguno de los conjuntos supera el umbral de ataque de 1000 paquetes por segundo. Sin embargo, si el umbral de destino es de 1000 pps, el dispositivo NetScreen trata los paquetes FTP y HTTP con la misma direccin de destino que los miembros de un solo conjunto y rechaza el 1001 paquete (FTP o HTTP) dirigido a ese destino. Timeout: El tiempo mximo antes de que una conexin semicompleta sea descartada de la cola. El valor predeterminado es de 20 segundos, pero se puede establecer entre 0 y 50 segundos. Intente reducir el valor del tiempo de espera hasta que comience a ver conexiones descartadas en condiciones normales de trfico. Veinte segundos representan un tiempo de espera muy conservador para una respuesta ACK a un establecimiento de comunicacin de 3 fases. set zone zone screen syn-flood timeout number Queue size: El nmero de peticiones de conexin procesadas por proxy que se pueden retener en la cola de conexiones procesada por proxy antes de que el dispositivo NetScreen comience a rechazar nuevas peticiones de conexin. Cuanto mayor sea el tamao de la cola, ms tarda el dispositivo NetScreen en analizarla para encontrar una respuesta ACK vlida a una peticin de conexin procesada por proxy. Esto puede retardar ligeramente el establecimiento inicial de la conexin; sin embargo, como el tiempo que debe transcurrir antes de poder comenzar la transferencia de datos es normalmente muy superior al de cualquier retraso menor en la configuracin inicial de la conexin, los usuarios no percibirn una diferencia notable. set zone zone screen syn-flood queue-size number Drop Unknown MAC: Cuando un dispositivo NetScreen detecta un ataque SYN, procesa por proxy todas las peticiones de conexin TCP. Sin embargo, un dispositivo NetScreen en modo transparente no puede procesar por proxy una peticin de conexin TCP si la direccin MAC de destino no est en su tabla de aprendizaje de MAC. De forma predeterminada, un dispositivo NetScreen en modo transparente que ha detectado un ataque SYN entrega paquetes SYN que contienen direcciones MAC desconocidas. Puede utilizar esta opcin para ordenar al dispositivo que descarte los paquetes SYN que contienen direcciones MAC de destino desconocidas en lugar de permitirles el paso. set zone zone screen syn-flood drop-unknown-mac
Ejemplo: Proteccin contra inundaciones SYN

En este ejemplo proteger cuatro servidores web en la zona DMZ contra ataques de inundacin SYN originados en la zona Untrust habilitando la opcin SCREEN de proteccin contra inundaciones SYN para la zona Untrust. Nota: Juniper Networks recomienda aumentar la proteccin contra inundaciones SYN incorporada en el dispositivo NetScreen con la proteccin contra inundaciones SYN a nivel de dispositivo en cada uno de los servidores web. En este ejemplo, los servidores web funcionan con el sistema operativo UNIX, que tambin proporciona algunas defensas contra inundaciones SYN, como ajustar el tamao de la cola de peticiones de conexin y modificar el tiempo de espera para las peticiones de conexin incompletas.
ethernet3 1.1.1.1/24 Zona Untrust Dispositivo NetScreen Internet HTTP Inundacin SYN Cortafuegos ethernet2 1.2.2.1/24 Servidores web 1.2.2.10 1.2.2.20 Zona DMZ 1.2.2.30 1.2.2.40
Para configurar los parmetros de proteccin contra inundaciones SYN con los valores apropiados para su red, primero debe establecer una lnea de base de los flujos de trfico tpicos. Durante una semana, ejecute un 4 programa rastreador sobre ethernet3 (la interfaz asociada a la zona Untrust) para supervisar el nmero de nuevas peticiones de conexin TCP que llegan cada segundo a los cuatro servidores web en DMZ5. Su anlisis de los datos acumulados durante una semana de supervisin produce la estadstica siguiente: Promedio de nuevas peticiones de conexin por servidor: 250 por segundo Promedio de mximo de peticiones de conexin por servidor: 500 por segundo
4. Un programa rastreador es un dispositivo analizador de red que captura paquetes en el segmento de red al que est conectado. La mayora de los programas rastreadores permiten definir filtros para recopilar solamente el tipo de trfico que interese. Despus podr visualizar y evaluar la informacin acumulada. En este ejemplo se desea que el programa rastreador recoja todos los paquetes TCP con el flag SYN activado que lleguen a ethernet3 y estn destinados a uno de los cuatro servidores web en DMZ. Siga ejecutando el programa rastreador a intervalos peridicos comprobando si existen patrones de trfico basados en la hora, el da de la semana, la fase del mes o la estacin del ao. Por ejemplo, el trfico puede aumentar espectacularmente durante las Navidades. Si detecta cambios significativos, probablemente est justificado ajustar los diferentes umbrales.
5.
59
De acuerdo con esta informacin, establecer los siguientes parmetros de proteccin contra inundaciones SYN para la zona Untrust:
Parmetros Attack Threshold (Umbral de ataque) Valores Motivo para cada valor
625 paquetes por Esto supera en un 25% al promedio de picos de nuevas peticiones de conexin segundo (pps) por segundo por servidor, algo inusual para este entorno de red. Cuando el nmero de paquetes SYN por segundo de cualquiera de los cuatro servidores web supera este nmero, el dispositivo NetScreen comienza a procesar por proxy las nuevas peticiones de conexin dirigidas a ese servidor. (En otras palabras, comenzando por el 626 paquete SYN dirigido a la misma direccin y nmero de puerto de destino en un mismo segundo, el dispositivo NetScreen comienza a procesar por proxy las peticiones de conexin dirigidas a esa direccin y nmero de puerto). 250 pps 250 pps es 1/4 del tamao de la cola (1000 peticiones de conexin * semicompletas y procesadas por proxy ). Cuando el dispositivo NetScreen procesa por proxy 251 nuevas peticiones de conexin en un segundo, genera una entrada de alarma en el registro de eventos. Aumentando ligeramente el umbral de alarma por encima del umbral de ataque, puede evitar las entradas de alarma generadas por picos de trfico que solamente exceden levemente el umbral de ataque.
Alarm Threshold (umbral de alarma)
60
Parmetros Source Threshold (Umbral de origen)
Valores 25 pps
Motivo para cada valor Cuando se establece un umbral de origen, el dispositivo NetScreen rastrea la direccin IP de origen de los paquetes SYN, sin importar la direccin y el nmero de puerto de destino. (Observe que este seguimiento basado en orgenes es independiente del seguimiento de paquetes SYN basado en la direccin y el nmero de puerto de destino, que constituye el mecanismo bsico de proteccin contra inundaciones SYN). Durante la semana de supervisin, observ que no ms de una cuarta parte de las nuevas peticiones de conexin para todos los servidores proceda del mismo origen dentro de un intervalo de un segundo. Por lo tanto, las peticiones de conexin que superan este umbral son poco habituales y son causa suficiente para que el dispositivo NetScreen ejecute su mecanismo de procesamiento por proxy. (25 pps es 1/25 del umbral de ataque, que es de 625 pps). Si el dispositivo NetScreen detecta 25 paquetes SYN procedentes de la misma direccin IP de origen, a partir del vigsimo sexto paquete rechazar los dems paquetes SYN de ese origen durante el resto de ese segundo y tambin durante el segundo siguiente.
Destination Threshold (Umbral de destino)
0 pps
Cuando se establece un umbral de destino, el dispositivo NetScreen ejecuta un seguimiento separado solamente de la direccin IP de destino, sin importar el nmero de puerto de destino. Debido a que los cuatro servidores web reciben solamente trfico HTTP (puerto de destino 80) y no les llega ningn trfico dirigido a ningn otro nmero de puerto de destino, establecer un umbral de destino separado no aporta ninguna ventaja adicional. Dado que el tamao de la cola es relativamente pequeo (1000 peticiones de conexin procesadas por proxy), el valor predeterminado de 20 segundos es un tiempo razonable para mantener las peticiones de conexin incompletas en cola para esta configuracin.
Timeout (Tiempo de espera)
20 segundos
61
Parmetros Queue Size (Tamao de la cola
Valores 1000 conexiones semicompletas procesadas por proxy
Motivo para cada valor 1000 peticiones de conexin semicompletas procesadas por proxy es dos veces el promedio de picos de nuevas peticiones de conexin (500 pps). El dispositivo NetScreen procesa por proxy hasta 1000 peticiones por segundo antes de descartar nuevas peticiones. Procesar por proxy el doble del promedio de picos de nuevas peticiones de conexin proporciona un colchn suficiente como para que puedan pasar las peticiones de conexin legtimas.
Las peticiones de conexin semicompletas son establecimientos de conexin en tres fases incompletos. Un establecimiento de conexin en tres fases es la fase inicial de una conexin TCP. Consiste en un segmento TCP con el flag SYN activado, una respuesta con los flag SYN y ACK activados y una respuesta a sta con el flag ACK activado. Para ver una descripcin completa, consulte Glosario en el Volumen 1, Vista general.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
62
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.10/32 Zone: DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.20/32 Zone: DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws3 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.30/32 Zone: DMZ
63
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ws4 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.40/32 Zone: DMZ Objects > Addresses > Groups > (para la zona: DMZ) New: Introduzca el siguiente nombre de grupo, mueva las siguientes direcciones y haga clic en OK : Group Name: web_servers Seleccione ws1 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members. Seleccione ws2 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members. Seleccione ws3 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members. Seleccione ws4 y utilice el botn << para trasladar la direccin de la columna Available Members a la columna Group Members.
3.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), web_servers Service: HTTP Action: Permit
64
4.
SCREEN
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en Apply : SYN Flood Protection: (seleccione) Threshold: 625 Alarm Threshold: 250 Source Threshold: 25 Destination Threshold: 0 Timeout Value: 20 Queue Size: 1000
6
6. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menos que lo haya establecido previamente en otro valor.
65
CLI
1. Interfaces
set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2.
Direcciones
set set set set set set set set address address address address group group group group dmz dmz dmz dmz ws1 ws2 ws3 ws4 1.2.2.10/32 1.2.2.20/32 1.2.2.30/32 1.2.2.40/32 web_servers web_servers web_servers web_servers add add add add ws1 ws2 ws3 ws4
address address address address
dmz dmz dmz dmz
3. 4.
Directiva
set policy from untrust to dmz any web_servers HTTP permit
SCREEN
set zone set zone set zone set zone set zone set zone save untrust untrust untrust untrust untrust untrust screen screen screen screen screen screen syn-flood syn-flood syn-flood syn-flood syn-flood syn-flood attack-threshold 625 alarm-threshold 250 source-threshold 25 7 timeout 20 queue-size 1000
7. Al ser 20 segundos el ajuste predeterminado, no es necesario establecer el tiempo de espera en 20 segundos a menos que lo haya establecido previamente en otro valor.
66
Inundacin ICMP
Una inundacin ICMP se produce normalmente cuando las peticiones de eco ICMP sobrecargan a su vctima con tantas peticiones que sta consume todos sus recursos en responder, hasta que le resulta imposible procesar el trfico de red vlido. Al habilitar la funcin de proteccin contra inundaciones ICMP, puede establecer un umbral que, al ser excedido, activa la funcin de proteccin contra ataques de inundacin ICMP. (El valor predeterminado del umbral es 1000 paquetes por segundo). Si se excede este umbral, el dispositivo NetScreen ignora otras peticiones de eco ICMP durante el resto de ese segundo y tambin durante el segundo siguiente.
El atacante enva peticiones de eco ICMP con direcciones de origen simuladas. El dispositivo NetScreen deja pasar las peticiones de eco slo si alguna directiva lo permite.
8
Peticin de eco Peticiones de eco ICMP de una variedad de direcciones IP suplantadas
?
Peticin de eco
Respuesta de eco
LAN protegida
?
Peticin de eco
Respuesta de eco
. . .
Respuesta de eco
Lmite mximo de peticiones de eco ICMP por segundo Peticin de eco Una vez alcanzado el umbral de ICMP, el dispositivo NetScreen rechaza las peticiones de eco ICMP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y tambin durante el segundo siguiente.
Peticin de eco Peticin de eco ICMP legtima de una direccin en la misma zona de seguridad
8.
Observe que una inundacin del ICMP puede consistir en cualquier tipo de mensaje ICMP. Por lo tanto, un dispositivo NetScreen supervisa todos los tipos de mensaje ICMP, no slo las peticiones de eco.
67
Para habilitar la proteccin contra inundaciones ICMP, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que puede originarse una inundacin:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : ICMP Flood Protection: (seleccione) Threshold: (introduzca el valor a partir del cual debe activarse la proteccin contra inundaciones ICMP9)
CLI
set zone zone screen icmp-flood threshold number set zone zone screen icmp-flood
9.
La unidad de este valor se expresa en paquetes ICMP por segundo. El valor predeterminado es de 1000 paquetes por segundo.
68
Inundacin UDP
De forma parecida a una inundacin ICMP, una inundacin UDP ocurre cuando un atacante enva paquetes IP que contienen datagramas UDP con el propsito de ralentizar a la vctima hasta que le resulta imposible procesar las conexiones vlidas. Despus de habilitar la funcin de proteccin contra inundaciones UDP, puede establecer un umbral que, al ser excedido, activa la funcin de proteccin contra ataques de inundacin UDP. (El valor predeterminado del umbral es 1000 paquetes por segundo). Si el nmero de datagramas UDP de uno o ms orgenes a un destino determinado supera este umbral, el dispositivo NetScreen ignora los datagramas UDP subsiguientes dirigidos a ese destino durante el resto de ese segundo y tambin durante el segundo siguiente.
El atacante enva datagramas UDP en paquetes IP con direcciones de origen simuladas. El dispositivo NetScreen deja pasar los datagramas UDP slo si alguna directiva lo permite. LAN protegida Datagramas UDP dentro de los paquetes IP de una variedad de direcciones IP simuladas Datagrama UDP Los datagramas apuntan a un servidor DNS en 1.2.2.5:53. Servidor DNS IP: 1.2.2.5 Puerto: 53 (UDP)
Datagrama UDP
Datagrama UDP
. . .
Lmite mximo de datagramas UDP por segundo Datagrama UDP Una vez alcanzado el umbral de inundacin UDP, el dispositivo NetScreen rechaza los datagramas UDP subsiguientes de todas las direcciones de la misma zona de seguridad durante el resto del segundo actual y tambin durante el segundo siguiente.
Datagrama UDP Datagrama UDP legtimo desde una direccin de la misma zona de seguridad
69
Para habilitar la proteccin contra inundaciones UDP, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que puede originarse una inundacin:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los siguientes datos y haga clic en Apply : UDP Flood Protection: (seleccione) Threshold: (introduzca el valor a partir del cual debe activarse la proteccin contra inundaciones UDP10)
CLI
set zone zone screen udp-flood threshold number set zone zone screen udp-flood
10. La unidad de este valor se expresa en paquetes UDP por segundo. El valor predeterminado es de 1000 paquetes por segundo.
70
Ataque terrestre (Land Attack)

Combinando un ataque SYN con la suplantacin de direcciones IP, un ataque terrestre ocurre cuando un atacante enva paquetes SYN suplantados que contienen la direccin IP de la vctima como direccin IP de destino y direccin IP de origen. El sistema receptor responde envindose a s mismo el paquete SYN-ACK, creando una conexin vaca que perdura hasta que caduca el tiempo de espera por inactividad. Inundar un sistema con tales conexiones vacas puede saturarlo y provocar la denegacin de servicio (DoS).
Atacante Tanto la direccin de origen como la de destino son las de la vctima. La direccin de origen que aparece en el encabezado IP es simulada, mientras que la direccin de origen verdadera permanece oculta. Origen 1.2.2.5 Destino 1.2.2.5 Vctima La vctima crea conexiones vacas consigo misma. Datos Los recursos disponibles de la vctima Datos Las conexiones vacas estn consumiendo los recursos de la vctima. Datos Todos los recursos estn consumidos, lo cual impide las operaciones normales.
Origen 1.2.2.5
Destino 1.2.2.5
Origen 1.2.2.5
Destino 1.2.2.5
71
Cuando se habilita la opcin SCREEN para bloquear ataques terrestres, el dispositivo NetScreen combina elementos de la defensa contra inundaciones SYN y de la proteccin contra la suplantacin de direcciones IP para detectar y bloquear cualquier intento de esta naturaleza. Para habilitar la proteccin contra ataques terrestres, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Land Attack Protection y haga clic en Apply .
CLI
set zone zone screen land
72
Ataques DoS especficos de cada sistema operativo
ATAQUES DOS ESPECFICOS DE CADA SISTEMA OPERATIVO

Si un atacante identifica no slo la direccin IP y los nmeros de puerto accesibles de un host activo, sino tambin su sistema operativo (OS), en lugar de utilizar ataques de fuerza bruta (brute-force attacks), puede atacar de forma ms sutil liquidando uno o dos paquetes. Los ataques presentados en esta seccin pueden inutilizar un sistema con un esfuerzo mnimo. Si su dispositivo NetScreen protege a hosts susceptibles a estos ataques, puede habilitar el dispositivo NetScreen para detectar dichos ataques y bloquearlos antes de que alcancen su destino.
Ping of Death
El tamao mximo admisible de un paquete IP es de 65.535 bytes, incluyendo el encabezado del paquete, que 11 habitualmente mide 20 bytes . Una peticin de eco ICMP es un paquete IP con un pseudoencabezado de 8 12 bytes . Por lo tanto, el tamao mximo admisible del rea de datos de una peticin de eco ICMP es de 65.507 bytes (65.535 - 20 - 8 = 65.507). Sin embargo, muchas implementaciones del comando ping permiten al usuario especificar un tamao del paquete superior a 65.507 bytes. Un paquete ICMP sobredimensionado puede desencadenar una variedad de reacciones adversas por parte del sistema, como la denegacin del servicio (DoS), cuelgues, bloqueos y reinicios. Habilitando la opcin SCREEN Ping of Death, el dispositivo NetScreen detecta y rechaza esos paquetes sobredimensionados e irregulares incluso cuando el atacante oculta el tamao total del paquete fragmentndolo intencionalmente. Nota: Para obtener informacin sobre Ping of Death, consulte http://www.insecure.org/sploits/ping-o-death.html.
20 bytes Original, paquete no fragmentado Encabezado IP 8 bytes Encabezado ICMP 65.510 bytes Datos ICMP
El tamao de este paquete es de 65.538 bytes. Excede el lmite de 65.535 bytes prescrito en la norma RFC 791, Internet Protocol. Durante la transmisin, el paquete se divide en numerosos fragmentos. Durante el proceso de reensamblaje, el sistema receptor puede quedarse colgado.
11. Para obtener informacin sobre las especificaciones del protocolo IP, consulte la norma RFC 791, Internet Protocol. 12. Para obtener ms informacin sobre las especificaciones de ICMP, consulte la norma RFC 792, Internet Control Message Protocol.
73
Para habilitar la proteccin contra ataques Ping of Death, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Ping of Death Attack Protection y haga clic en Apply .
CLI
set zone zone screen ping-death
74
Ataque Teardrop
Los ataques Teardrop explotan la funcin de reensamblaje de paquetes IP fragmentados. En el encabezado IP, uno de los campos es el de desplazamiento del fragmento, que indica la posicin inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado con respecto a los datos del paquete original sin fragmentar.
Encabezado IP
Tamao del encabezado El dispositivo NetScreen comprueba si existen discrepancias en el campo de desplazamiento del fragmento. Tipo de servicio Tamao total del paquete (en bytes)
Versin
Identificacin Tiempo de vida (Time to Live o TTL) Protocolo
D M
Desplazamiento del fragmento
20 bytes
Direccin de destino Opciones (si las hay) Carga de datos
Cuando la suma de tamao de desplazamiento + tamao de un paquete fragmentado es distinta a la del siguiente paquete fragmentado, los paquetes se solapan y el servidor que intenta reensamblarlos puede colgarse, especialmente si est ejecutando un sistema operativo antiguo que tenga esta vulnerabilidad.
75
Discrepancia entre fragmentos

20 bytes Paquete fragmentado n 1 Encabezado IP Desplazamiento (offset) = 0 Longitud = 820 Ms fragmentos = 1 20 bytes Paquete fragmentado n 2 Encabezado IP 600 bytes Datos El segundo fragmento pretende comenzar 20 bytes antes (en 800) del final del primer fragmento (en 820). El desplazamiento del fragmento n 2 no concuerda con la longitud del paquete del fragmento n 1. Esta discrepancia puede hacer que algunos sistemas se cuelguen al intentar el reensamblaje. 800 bytes Datos
Desplazamiento (offset) = 800 Longitud = 620 Ms fragmentos = 0
Una vez habilitada la opcin SCREEN Teardrop Attack, siempre que el dispositivo NetScreen detecte esta discrepancia en un paquete fragmentado, lo descartar. Para habilitar la proteccin contra ataques Teardrop, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Teardrop Attack Protection y haga clic en Apply .
CLI
set zone zone screen tear-drop
76
WinNuke
WinNuke es un ataque de denegacin de servicio (DoS) que apunta a cualquier equipo conectado a Internet que ejecute Windows. El atacante enva un segmento TCP, normalmente al puerto 139 de NetBIOS con el flag URG (urgente) activado, a un host con una conexin establecida. Esto induce un solapamiento de fragmentos NetBIOS, que en muchos equipos Windows provoca la cada del sistema. Al reiniciar el equipo atacado, aparece el siguiente mensaje para indicar que se ha producido un ataque: Excepcin OE en 0028:[direccin] en el VxD MSTCP(01) + 000041AE. La llamada se realiz desde 0028:[direccin] en el VxD NDIS(01) + 00008660. Quizs pueda continuar normalmente. Presione cualquier tecla para continuar. Presione CTRL+ALT+SUPR para reiniciar el equipo. Perder la informacin no guardada en los programas. Presione cualquier tecla para continuar.
Indicadores de un ataque WinNuke Encabezado TCP
Nmero del puerto de origen Nmero correlativo Nmero de reconocimiento Tamao del encabezado Reservado U A P R S F R C S S Y I G K H T N N Tamao de la ventana Indicador Urgente Opciones (si las hay) Datos (si los hay) El flag URG est activado. El puerto de destino es el 139. Puerto de destino: 139
Suma de comprobacin de TCP
77
Con la opcin SCREEN de defensa contra ataques WinNuke habilitada, el dispositivo NetScreen analiza cualquier paquete entrante del servicio de sesiones de Microsoft NetBIOS (puerto 139). Si el dispositivo NetScreen detecta que el flag URG est activado en alguno de esos paquetes, lo desactiva, borra el indicador URG, reenva el paquete modificado y genera una entrada en el registro de eventos indicando que ha bloqueado un intento de ataque WinNuke. Para habilitar la proteccin contra ataques WinNuke, ejecute cualquiera de los siguientes procedimientos, donde la zona especificada es aqulla en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione WinNuke Attack Protection y haga clic en Apply .
CLI
set zone zone screen winnuke
78
Captulo 4
Supervisin y filtrado de contenidos

Juniper Networks proporciona amplia proteccin y control de la actividad de red por medio de funciones de ScreenOS y de la combinacin de ScreenOS con productos Websense, SurfControl y Trend Micro.
Juniper Networks ofrece varias funciones de supervisin y filtrado de contenidos con la opcin SCREEN de proteccin contra URL maliciosas de ScreenOS. Adems, la funcin de reensamblaje de fragmentos permite que un dispositivo NetScreen detecte las URL incluso entre segmentos TCP y paquetes IP fragmentados. Para la proteccin antivirus (AV), puede elegir algunos de los dispositivos NetScreen para obtener una clave de licencia avanzada y una clave de suscripcin AV, y utilizar la funcin interna de deteccin de virus. Para el filtrado de URL, puede configurar un dispositivo NetScreen de modo que trabaje con un motor interno de filtrado de URL con uno o ms servidores de filtrado URL externos. En este captulo se estudia cmo se ha de configurar el dispositivo NetScreen para reensamblar paquetes y segmentos, supervisar el trfico HTTP en busca de URL maliciosas e interactuar con otros dispositivos para realizar el anlisis antivirus y el filtrado de URL. El captulo se divide en las siguientes secciones: Reensamblaje de fragmentos en la pgina 81 Proteccin contra URLs maliciosas en la pgina 81 Puerta de enlace en la capa de aplicacin en la pgina 82 Anlisis antivirus en la pgina 86 Anlisis del trfico FTP en la pgina 87 Anlisis del trfico HTTP en la pgina 89 Anlisis del trfico IMAP y POP3 en la pgina 92 Anlisis del trfico SMTP en la pgina 94 Actualizacin del archivo de firmas AV en la pgina 96 Aplicacin de anlisis AV en la pgina 100 Ajustes del analizador AV en la pgina 103
79
Captulo 4 Supervisin y filtrado de contenidos
Filtrado de URL en la pgina 111 Filtrado de URL integrado en la pgina 112 Redireccionamiento del filtrado de URL en la pgina 126
80
Reensamblaje de fragmentos
REENSAMBLAJE DE FRAGMENTOS
Normalmente, los dispositivos de reenvo por red, como conmutadores o enrutadores, no reensamblan los paquetes fragmentados que reciben. El reensamblaje de los paquetes fragmentados es responsabilidad del host de destino una vez los recibe. Como el objetivo de los dispositivos de reenvo es garantizar un trfico eficaz, poniendo en cola los paquetes fragmentados, su reensamblaje, fragmentacin y reenvo resultan innecesarios e ineficaces. Sin embargo, el paso de paquetes fragmentados a travs de un cortafuegos es poco seguro. El atacante puede romper intencionadamente los paquetes y hacer as que las cadenas de trfico resultantes crucen el cortafuegos sin que se las detecte y bloquee. ScreenOS permite habilitar por zonas el reensamblaje de fragmentos. De esta forma, el dispositivo NetScreen puede ampliar su habilidad de detectar y bloquear cadenas de URL maliciosas y mejorar su capacidad de proporcionar una puerta de enlace en la capa de aplicacin (ALG) para comprobar las porciones de datos de los paquetes.
Proteccin contra URLs maliciosas

Adems de la funcin de filtrado de URL que se explica ms adelante en este captulo (consulte Redireccionamiento del filtrado de URL en la pgina 126), es posible definir hasta 48 patrones de cadenas URL maliciosas por zona, cada uno con una longitud mxima de 64 caracteres, para la proteccin contra URL maliciosas en el nivel de zonas. Si la funcin de bloqueo de URL maliciosas est habilitada, el dispositivo NetScreen examina la carga de datos de todos los paquetes HTTP. Si localiza una URL y detecta que el comienzo de su cadena (hasta un nmero determinado de caracteres) coincide con uno de los patrones definidos, el dispositivo NetScreen bloquear el paquete, impidiendo que traspase la puerta de enlace. Cualquier atacante con recursos, al darse cuenta de que la cadena es conocida y que se puede bloquear, puede fragmentar los paquetes IP o los segmentos TCP para que el patrn no sea identificable durante la inspeccin. Por ejemplo, si la cadena URL maliciosa es 120.3.4.5/level/50/exec , sta se podra fragmentar en las siguientes secciones: Primer paquete: 120. Segundo paquete: 3.4.5/level/50 Tercer paquete: /exec
81
Individualmente, las cadenas fragmentadas pueden atravesar el dispositivo NetScreen sin ser detectadas, aunque se haya definido una cadena 120.3.4.5/level/50/exec con una longitud de 20 caracteres. La cadena del primer paquete (120.) coincide con la primera parte del patrn definido, pero es ms corta que los 20 caracteres definidos para la longitud. Las cadenas del segundo y del tercer paquete no coinciden con el inicio del patrn definido, por lo que tambin podrn pasar sin problemas. No obstante, al reensamblar los paquetes, los fragmentos se combinan formando una cadena que el dispositivo NetScreen puede identificar y bloquear. Gracias a la funcin de reensamblaje de fragmentos, el dispositivo NetScreen puede colocar los fragmentos en cola, reensamblar con ellos el paquete completo y, finalmente, analizar el paquete en busca de cdigo malicioso. Segn los resultados de este proceso de reensamblaje y la posterior inspeccin, el dispositivo NetScreen lleva a cabo uno de los siguientes pasos: Si el dispositivo NetScreen descubre una URL maliciosa, descarta el paquete e indica el evento en el registro. Si el dispositivo NetScreen no puede completar el proceso de reensamblaje, hay impuesto un lmite temporal tras el cual los fragmentos caducan y se descartan. Si el dispositivo NetScreen determina que la URL no es maliciosa pero el paquete reensamblado es demasiado grande para reenviarlo, vuelve a fragmentar el paquete y reenva los fragmentos. Si el dispositivo NetScreen determina que la URL no es maliciosa y no es necesario fragmentarla, reenva el paquete directamente.
Puerta de enlace en la capa de aplicacin

NetScreen ofrece una puerta de enlace en la capa de aplicacin (ALG, o Application Layer Gateway) para una serie de protocolos, como DNS, FTP, H.323 o HTTP. En estos protocolos, el reensamblaje de fragmentos puede ser un componente importante a la hora de reforzar las directivas relativas a los servicios FTP y HTTP. La capacidad de la puerta de enlace NetScreen para analizar paquetes para protocolos como FTP-Get y FTP-Put hace necesario examinar no slo el encabezado del paquete sino tambin los datos de la carga. Por ejemplo, puede haber dos directivas, una que deniegue FTP-Put procedente de las zonas Untrust a las zonas DMZ y otra que permita FTP-Get desde las zonas Untrust a las zonas DMZ: set policy from untrust to dmz any any ftp-put deny set policy from untrust to dmz any any ftp-get permit
82
Para distinguir los dos tipos de trfico, el cortafuegos de NetScreen examina la carga del paquete. Si el contenido es RETR filename , el cliente FTP ha enviado una peticin para obtener o recuperar (RETRieve) el archivo especificado desde el servidor FTP y el dispositivo NetScreen permitir el paso del paquete. Si el dispositivo NetScreen encuentra STOR filename , el cliente ha enviado una peticin para almacenar (STORe) el archivo especificado en el servidor y el dispositivo NetScreen bloquear el paquete. Para burlar este tipo de defensa, un atacante puede fragmentar deliberadamente un paquete FTP-put en dos paquetes que contengan el siguiente texto en las cargas de datos correspondientes: paquete 1: ST ; paquete 2: OR filename . Cuando el dispositivo NetScreen inspecciona cada paquete de forma individual, no encuentra la cadena STOR filename , por lo que permite el paso de ambos paquetes. No obstante, al reensamblarlos, los fragmentos se combinan formando una cadena que el dispositivo NetScreen puede identificar y bloquear. Gracias a la funcin de reensamblaje de fragmentos, el dispositivo NetScreen coloca los fragmentos en cola, reconstruye con ellos el paquete completo y, finalmente, analiza el paquete en busca de la peticin FTP completa. Segn los resultados de este proceso de reensamblaje y la posterior inspeccin, el dispositivo NetScreen lleva a cabo uno de los siguientes pasos: Si el dispositivo NetScreen descubre una peticin FTP-put, descarta el paquete e indica el evento en el registro. Si el dispositivo NetScreen no puede completar el proceso de reensamblaje, hay impuesto un lmite temporal tras el cual los fragmentos caducan y se descartan. Si el dispositivo NetScreen descubre una peticin FTP-get pero el paquete reensamblado es demasiado grande para reenviarlo, vuelve a fragmentar el paquete y reenva los fragmentos. Si el dispositivo NetScreen descubre una peticin FTP-get y no es necesario fragmentarla, reenva el paquete directamente.
Ejemplo: Bloqueo de URLs maliciosas fragmentadas

En este ejemplo, definiremos tres cadenas de URLs maliciosas y habilitaremos la opcin de bloqueo de URL maliciosa: Primera URL maliciosa ID: Perl Pattern: scripts/perl.exe Length: 14
83
Segunda URL maliciosa ID: CMF Pattern: cgi-bin/phf Length: 11 Tercera URL maliciosa ID: DLL Pattern: 210.1.1.5/msadcs.dll Length: 18 Los valores de longitud (Length) indican el nmero de caracteres del patrn que deben aparecer en la URL, comenzando por el primer carcter, para que la coincidencia se considere correcta. Observe que en las URL primera y tercera, no es necesario que coincidan todos los caracteres. A continuacin, habilite el reensamblaje de fragmentos para detectar las URL que lleguen a una interfaz de zona Untrust en el trfico de HTTP.
WebUI
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : ID: perl Pattern: /scripts/perl.exe Length: 14 Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : ID: cmf Pattern: cgi-bin/phf Length: 11 Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK : ID: dll Pattern: 210.1.1.5/msadcs.dll Length: 18
Network > Zones > Edit (para Untrust): Seleccione la casilla de verificacin TCP/IP Reassembly for ALG y luego haga clic en OK .
CLI
set zone set zone set zone set zone save untrust untrust untrust untrust screen mal-url perl scripts/perl.exe 14 screen mal-url cmf cgi-bin/phf 11 screen mal-url dll 210.1.1.5/msadcs.dll 18 reassembly-for-alg
85
Anlisis antivirus
ANLISIS ANTIVIRUS
Un virus es un cdigo ejecutable que infecta o adjunta otro cdigo ejecutable que le permite reproducirse. Algunos virus son maliciosos, borrando archivos o bloqueando sistemas. Otros representan un problema simplemente porque infectan otros archivos, puesto que al propagarse pueden saturar la red o el host infectado con cantidades excesivas de datos superfluos. Los dispositivos Select NetScreen admiten un analizador interno de antivirus (AV) que proporcione anlisis AV para 1 transacciones especficas de la capa de la aplicacin . Puede configurar el escner para que examine el trfico de red que utiliza los siguientes protocolos: File Transfer Protocol (FTP) Hypertext Transfer Protocol (HTTP) Internet Mail Access Protocol (IMAP) Post Office Protocol, version 3 (POP3) Simple Mail Transfer Protocol (SMTP)
Para aplicar la proteccin AV, debe hacer referencia al escner interno en las directivas de seguridad. Cuando el dispositivo NetScreen recibe el trfico al que se aplica una directiva que requiere anlisis AV, dirige el contenido que recibe a su escner interno. Tras comprobar que ha recibido el contenido completo del paquete FTP, HTTP, IMAP, POP3, o SMTP, el escner examina los datos en busca de virus. Esto lo hace segn un archivo de firmas2 que permite identificar las firmas de virus. Cuando el escner detecta un virus, el dispositivo NetScreen descarta el contenido y enva un mensaje al cliente indicando que el contenido est infectado. Si el analizador no detecta ningn virus, el dispositivo NetScreen reenva el contenido al destino correspondiente.
1. Aunque algunos dispositivos NetScreen muestran opciones en las interfaces CLI y WebUI para configurar el anlisis AV externo, esta versin de ScreenOS es compatible nicamente con el anlisis interno AV. 2. Para ver la informacin acerca de cmo guardar un archivo de firmas AV en el dispositivo NetScreen y actualizarlo periodicamente, consulte Actualizacin del archivo de firmas AV en la pgina 96.
86
Anlisis antivirus
Anlisis del trfico FTP

Para el trfico FTP, el dispositivo NetScreen supervisa el canal de control, y si detecta uno de los comandos FTP para la transferencia de datos (RETR, STOR, STOU, APPE) analiza los datos que se envan a travs del canal de datos. La siguiente accin que lleva a cabo el dispositivo NetScreen depende de los resultados del anlisis y de cmo haya configurado el comportamiento del modo de fallo:
Si los datos no estn contaminados contienen un virus exceden el mximo nivel de contenido exceden el mximo nivel de contenido no se pueden analizar con xito no se pueden analizar con xito y el modo de fallo es aceptar o descartar aceptar o descartar descartar aceptar descartar aceptar entonces el dispositivo NetScreen transmite los datos al cliente FTP a travs del canal de datos. descarta los datos del canal de datos y enva un mensaje de notificacin de virus al cliente FTP a travs del canal de control. descarta los datos del canal de datos y enva un mensaje file too large al cliente FTP a travs del canal de control. transmite los datos al cliente FTP a travs del canal de datos. descarta los datos del canal de datos y enva un mensaje scan error al cliente FTP a travs del canal de control. transmite los datos y enva un mensaje scan error al cliente FTP a travs del canal de control.
87
Anlisis antivirus
Anlisis antivirus de FTP

Zona Untrust
Canal de control Zona Trust 1 Cliente FTP local 2 3 Analizador AV interno Canal de datos
Servidor FTP remoto
1. Un cliente FTP local abre un canal de control FTP en un servidor FTP y solicita la transmisin de algunos datos. 2. El cliente FTP y el servidor negocian un canal de datos por el que el servidor enve los datos solicitados. El dispositivo NetScreen intercepta los datos y transmite los datos HTTP a su analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva los datos al cliente. Si se descubre la presencia de un virus, descarta el mensaje y enva otro informando de la infeccin al cliente a travs del canal de control.
Si los datos analizados exceden el ajuste mximo de los contenidos o si el anlisis no se puede finalizar con xito, el dispositivo NetScreen sigue una lnea de accin diferente en funcin del ajuste del modo de fallo. Consulte la tabla anterior para los detalles.
88
Anlisis antivirus
Anlisis del trfico HTTP

Para el anlisis del trfico HTTP, el dispositivo NetScreen analiza tanto las respuestas como las peticiones HTTP (comandos get, post y put). El analizador AV interno examina las descargas HTTP; es decir, los datos HTTP de un servidor web en respuesta a las peticiones HTTP de un cliente. El analizador AV interno tambin analiza las cargas, p. ej., cuando un cliente HTTP completa un cuestionario en un servidor web o cuando un cliente escribe un mensaje en un servicio de correo ubicado en un servidor web. La siguiente accin que lleva a cabo el dispositivo NetScreen depende de los resultados del anlisis y de cmo haya configurado el comportamiento del modo de fallo:
Si los datos no estn contaminados contienen un virus exceden el mximo nivel de contenido exceden el mximo nivel de contenido no se pueden analizar con xito no se pueden analizar con xito y el modo de fallo es aceptar o descartar aceptar o descartar descartar aceptar descartar aceptar entonces el dispositivo NetScreen transfiere los datos al cliente HTTP. descarta los datos y enva un mensaje de la notificacin de virus al cliente HTTP. descarta los datos y enva un mensaje file too large al cliente HTTP. transfiere los datos al cliente HTTP. descarta los datos y enva un mensaje scan error al cliente HTTP. transfiere los datos y enva un mensaje scan error al cliente HTTP.
89
Anlisis antivirus
Anlisis antivirus HTTP

Zona Untrust 3 Servidor web remoto 4 5 2 6 1 Cliente HTTP local Zona Trust
Analizador AV interno 4. Un servidor web responde a una peticin HTTP. 5. El dispositivo NetScreen intercepta la respuesta HTTP y transmite los datos a su analizador AV interno, que los examina en busca de virus. 6. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva la respuesta al cliente HTTP. Si se descubre la presencia de un virus, descarta la respuesta y enva un mensaje HTTP informando de la infeccin al cliente. 1. Un cliente HTTP enva una peticin HTTP a un servidor web. 2. El dispositivo NetScreen intercepta la peticin y transmite los datos al analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva la peticin al servidor web. Si se descubre la presencia de un virus, descarta la peticin y enva un mensaje HTTP informando de la infeccin al cliente.
Extensiones MIME de HTTP

De forma predeterminada, el anlisis HTTP no analiza entidades HTTP compuestas de los siguientes tipos de contenido Multipurpose Internet Mail Extensions (MIME) y subtipos (cuando estn seguidos de una barra): application/x-director application/pdf image/ video/ audio/ text/css text/html
90
Anlisis antivirus
Para mejorar rendimiento, los dispositivos NetScreen no analizan los tipos de contenido MIME anteriores. Puesto que la mayora de las entidades HTTP se componen de los tipos de contenido antedichos, el anlisis HTTP se aplica nicamente a un pequeo subconjunto de entidades HTTP, por ejemplo tipos de contenidos /zip y application/exe, en los que es ms probable que se escondan los virus. Para modificar el comportamiento del anlisis HTTP de modo que el dispositivo NetScreen analice todas las clases de trfico HTTP sin tener en cuenta los tipos del contenido MIME, introduzca el siguiente comando: unset av http skipmime .
Correo web HTTP

Para el correo web HTTP, antes de enviar las respuestas de un servidor web al cliente que realiz las peticiones de correo web HTTP, el dispositivo NetScreen enva las respuestas al analizador AV y, a continuacin, al cliente.
Anlisis antivirus del correo web HTTP

Zona Untrust 1 Servidor web remoto Cliente HTTP local 2 3 Analizador AV interno 1. Un cliente HTTP local enva una peticin de correo web HTTP a un servidor web remoto. El dispositivo NetScreen permite la peticin. 2. El dispositivo NetScreen intercepta la respuesta HTTP entrante y transmite los datos HTTP a su analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva el mensaje al cliente. Si se descubre la presencia de un virus, descarta el mensaje y enva un mensaje HTTP informando de la infeccin al cliente. Zona Trust
91
Anlisis antivirus
Anlisis del trfico IMAP y POP3

Para el anlisis del trfico IMAP y POP3, el dispositivo NetScreen desva el trfico de un servidor de correo local al analizador AV interno antes de enviarlo al cliente local IMAP o POP3. La siguiente accin que lleva a cabo el dispositivo NetScreen depende de los resultados del anlisis y de cmo haya configurado el comportamiento del modo de fallo:
Si el mensaje no est contaminado contiene un virus y el modo de fallo es aceptar o descartar aceptar o descartar entonces el dispositivo NetScreen transmite el mensaje al cliente IMAP o POP3. cambia el tipo de contenido a text/plain, reemplaza el cuerpo del mensaje con el siguiente aviso, y lo enva al cliente IMAP o POP3: VIRUS WARNING Contaminated File: filename Virus Name: virus_name cambia el tipo de contenido a text/plain, reemplaza el cuerpo del mensaje con el siguiente aviso, y lo enva al cliente IMAP o POP3: No se analiz el contenido en busca de virus porque reason_text_str (number de cdigo),y se descart. El reason_text_str puede ser uno de los siguientes: el archivo era demasiado grande por un error o limitacin se excedi el tamao de contenido mx. se excedi el nmero de mensajes mx. transmite el mensaje original al cliente IMAP o POP3 con la lnea de ttulo modificada de la siguiente forma: original_subject_text_str (No se analiz en busca de virus porque reason_text_str, number de cdigo)
excede el mximo nivel de contenido o bien no se puede analizar con xito
descartar
aceptar
92
Anlisis antivirus
Anlisis antivirus de IMAP o POP3 Zona DMZ Servidor de correo local Zona Untrust Internet 2 Analizador AV interno 3 Cliente IMAP o POP3 1 Zona Trust
1. El cliente IMAP o POP3 descarga un mensaje de correo electrnico desde el servidor de correo local. 2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva el mensaje al cliente. Si se descubre la presencia de un virus, enva un mensaje informando de la infeccin al cliente.
Si el mensaje analizado excede el ajuste de contenido mximo o si el anlisis no se pudo completar con xito, el dispositivo NetScreen sigue una lnea de accin diferente en funcin del ajuste del modo de fallo. Consulte la tabla anterior para los detalles.
93
Anlisis antivirus
Anlisis del trfico SMTP

Para el anlisis de trfico SMTP, el dispositivo NetScreen desva el trfico de los clientes SMTP locales al analizador AV interno antes de enviarlo al servidor de correo local. La siguiente accin que lleva a cabo el dispositivo NetScreen depende de los resultados del anlisis y de cmo haya configurado el comportamiento del modo de fallo:
3
Si el mensaje no est contaminado contiene un virus
y el modo de fallo es aceptar o descartar aceptar o descartar
entonces el dispositivo NetScreen transmite el mensaje al receptor SMTP. cambia el tio de contenido a text/plain, reemplaza el cuerpo del mensaje con el siguiente aviso y lo enva al receptor SMTP: VIRUS WARNING Contaminated File: filename Virus Name: virus_name cambia el tio de contenido a text/plain, reemplaza el cuerpo del mensaje con el siguiente aviso y lo enva al receptor SMTP: No se analiz el contenido en busca de virus porque reason_text_str (nmero de cdigo),y se descart. El reason_text_str puede ser uno de los siguientes: el archivo era demasiado grande por un error o limitacin se excedi el tamao de contenido mx. se excedi el nmero de mensajes mx.
descartar
3.
Puesto que un cliente SMTP se refiere a la entidad que enva el correo electrnico, un cliente puede, de hecho, ser otro servidor SMTP.
94
Anlisis antivirus
Si el mensaje excede el mximo nivel de contenido o bien no se puede analizar con xito
y el modo de fallo es aceptar
entonces el dispositivo NetScreen transmite el mensaje original al receptor SMTP con la lnea de ttulo original modificada del siguiente modo: original_subject_text_str (No se analiz en busca de virus porque reason_text_str, number de cdigo)
Anlisis antivirus SMTP

Zona DMZ Servidor de correo local Zona Untrust Internet 1 Servidor de correo remoto 2 3 C A Cliente SMTP Zona Trust
Analizador AV interno
1. Un servidor de correo remoto reenva un mensaje de correo electrnico por SMTP al servidor de correo local. 2. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus. 3. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva el mensaje al servidor local. Si se descubre la presencia de un virus, enva un mensaje informando de la infeccin al servidor remoto.
A. Un cliente SMTP enva un mensaje de correo electrnico a un servidor de correo local. B. El dispositivo NetScreen intercepta el mensaje y transmite los datos al analizador AV interno, que los examina en busca de virus. C. Una vez finalizado el anlisis, el dispositivo NetScreen sigue uno de estos pasos: Si no hay virus, reenva el mensaje al servidor local. Si se descubre la presencia de un virus, enva un mensaje informando de la infeccin al cliente.
Si el mensaje analizado excede el ajuste de contenido mximo o si el anlisis no se pudo completar con xito, el dispositivo NetScreen sigue una lnea de accin diferente en funcin del ajuste del modo de fallo. Consulte la tabla anterior para los detalles.
95
Anlisis antivirus
Actualizacin del archivo de firmas AV

Para utilizar el anlisis AV es necesario cargar una base de datos de firmas de virus (patrones) en el dispositivo NetScreen y actualizar el archivo de firmas peridicamente. Para ello, debe registrar el dispositivo y adquirir una suscripcin para el servicio de firmas de virus. La suscripcin permite cargar la versin actual de la base de datos y actualizarla cada vez que se publiquen nuevas versiones mientras dure el periodo de validez de la suscripcin. Existen dos procesos distintos para iniciar el servicio de firmas de virus: Si adquiere un dispositivo NetScreen con funciones antivirus, puede cargar un archivo de firmas de virus durante un breve periodo de tiempo desde la fecha de compra. No obstante, deber registrar el dispositivo y adquirir una suscripcin para el servicio de firmas de virus para poder continuar recibiendo actualizaciones. Si actualiza su dispositivo NetScreen actual para poder utilizar anlisis antivirus interno, debe registrar el dispositivo y adquirir una suscripcin para el servicio de firmas antes de poder cargar el archivo de firmas inicial. Una vez finalizado el proceso de registro, deber esperar durante un mximo de cuatro horas antes de iniciar la descarga del archivo de firmas. Nota: Para obtener ms informacin sobre el servicio de firmas de virus, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463. A continuacin se describe el proceso de actualizacin del archivo de firmas de virus: 1. En el dispositivo NetScreen, especifique la direccin URL del servidor de actualizaciones del que el dispositivo solicita un archivo de inicializacin de servidor denominado server.ini . Por ejemplo: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini.
Dispositivo NetScreen Peticin de archivo para server.ini Servidor de actualizaciones URL = http://5gt-t.activeupdate .trendmicro.com/activeupdate /server.ini
Internet
Archivo server.ini
Transferencia de archivo server.ini
Archivo server.ini
96
Anlisis antivirus
2.
Despus de que el dispositivo NetScreen descarga el archivo de inicializacin de servidor, el dispositivo NetScreen comprueba que el archivo server.ini es vlido. Luego lo analiza para obtener informacin acerca del archivo de firmas actualizado, incluida la versin y el tamao del mismo, y acerca de la ubicacin del servidor del archivo de firmas. Nota: ScreenOS contiene un certificado CA para autenticar la comunicacin con el servidor de archivos de firmas.
3.
Si el archivo de firmas del dispositivo NetScreen est caducado (o no existe debido a que es la primera vez que se carga un archivo), el dispositivo automticamente recupera un archivo de firmas actualizado del servidor de archivos de firmas.
Dispositivo NetScreen Servidor de archivos de firmas
Peticin del archivo de firmas
Internet
Archivo de firmas de virus Transferencia del archivo de firmas de virus
Archivo de firmas de virus
4.
Una vez el dispositivo NetScreen ha descargado el archivo de firmas, verifica que la suscripcin para el servicio de actualizacin de archivos de firmas AV an es vlida. Si la suscripcin es vlida, el dispositivo NetScreen guarda el nuevo archivo de firmas en la memoria flash y la memoria RAM, y sobrescribe el archivo existente, en caso de que lo hubiera. Si la suscripcin ha caducado, la actualizacin del archivo de firmas se cancelar y aparecer un mensaje indicando que la suscripcin ha caducado.
Las actualizaciones del archivo de firmas se agregan a medida que se propagan nuevos virus. Puede configurar el dispositivo NetScreen para que actualice el archivo de firmas automticamente cada cierto tiempo o manualmente. Nota: Cuando caduque la suscripcin, el servidor de actualizaciones no permitir actualizar el archivo de firmas de virus.
97
Anlisis antivirus
Ejemplo: actualizacin automtica

En este ejemplo, configuraremos el dispositivo NetScreen para que actualice el archivo de firmas automticamente cada 15 minutos. (El intervalo de actualizacin predeterminado es de 60 minutos). El servidor de actualizaciones se encuentra ubicado en la siguiente direccin URL: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini.
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini. Auto Pattern Update: (seleccione), Interval: 15 minutes (10~10080)
CLI
set av scan-mgr pattern-update-url http://5gt-t.activeupdate.trendmicro.com/ activeupdate/server.ini interval 15 save
98
Anlisis antivirus
Ejemplo: Actualizacin manual

En este ejemplo, actualizar el archivo de firmas manualmente. El servidor de actualizaciones se encuentra ubicado en la siguiente direccin URL: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini.
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Pattern Update Server: http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini. Update Now: (seleccione)
CLI
set av scan-mgr pattern-update-url http://5gt-t.activeupdate.trendmicro.com/activeupdate/server.ini exec av scan-mgr pattern-update
99
Anlisis antivirus
Aplicacin de anlisis AV
Para aplicar anlisis AV al trfico FTP, HTTP, IMAP, POP3, o SMTP, debe hacer referencia al analizador AV (scan-mgr) en las directivas.
Ejemplo: Anlisis AV interno (POP3)

En este ejemplo haremos referencia al analizador AV interno en una directiva de cortafuegos, en la que permitiremos el trfico POP3 desde direcciones en la zona Trust al servidor de correo (mailsrv1, 1.2.2.5) de la zona DMZ. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Anlisis antivirus
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: mailsrv1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: DMZ
3.
Anlisis AV de POP3
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Protocols to be scanned: POP3: (seleccione)
4.
Ruta
5.
Directiva
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), mailsrv1 Service: POP3
101
Anlisis antivirus
Action: Permit Anlisis antivirus: Seleccione scan-mgr y haga clic en el botn << para mover el objeto AV de la columna Available AV Object Names a la columna Attached AV Object Names.
CLI
1. Interfaces
2. 3. 4. 5.
Direccin
set address dmz mailsvr1 1.2.2.5/32
Anlisis AV de POP3
set av scan-mgr content pop3 timeout 20
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
Directiva
set policy from trust to dmz any mailsvr1 pop3 permit av scan-mgr save
102
Anlisis antivirus
Ajustes del analizador AV

Puede modificar los siguientes ajustes del analizador AV para atender mejor las necesidades de su entorno de red:
Anlisis selectivo de contenido

De forma predeterminada, el analizador AV examina el trfico de tipo FTP, HTTP (slo correo web), IMAP, POP3, y SMTP. Nota: El analizador AV interno slo examina patrones especficos de correo web HTTP. Los patrones de los servicio de correo de Yahoo!, Hotmail y AOL estn predefinidos. Puede modificar el comportamiento predeterminado de modo que el analizador examine nicamente determinados tipos de trfico de red. Tambin puede modificar el valor de tiempo de espera por protocolo. De forma predeterminada, una operacin de anlisis AV tiene un tiempo de espera de 180 segundos en caso de que el dispositivo NetScreen no reciba todos los datos que necesita para completar el anlisis. Se puede ajustar un valor de entre 1 y 1800 segundos. set av scan-mgr content { ftp | http | imap | pop3 | smtp } timeout number unset av scan-mgr content { ftp | http | imap | pop3 | smtp } timeout El comando unset av restablece el tiempo de espera a su valor predeterminado (180 segundos).
103
Anlisis antivirus
Ejemplo: Anlisis de todos los tipos de trfico

En este ejemplo, configurar el analizador AV para que examine el trfico FTP, HTTP (slo correo web), IMAP, POP3, y SMTP. Puesto que usted prev que el analizador deber analizar mucho trfico, puede aumentar el tiempo de espera de 180 segundos (el ajuste predeterminado) a 300 segundos.
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Protocols to be scanned: HTTP: (seleccione) Webmail: (seleccione) SMTP: (seleccione) POP3: (seleccione) FTP: (seleccione) IMAP: (seleccione) Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz CLI.
CLI
set av set av set av set av set av save scan-mgr scan-mgr scan-mgr scan-mgr scan-mgr content content content content content http timeout 300 smtp timeout 300 pop3 timeout 300 ftp timeout 300 imap timeout 300
104
Anlisis antivirus
Ejemplo: Anlisis AV para SMTP y HTTP

En este ejemplo, configurar el analizador AV para que examine todo el trfico SMTP y HTTP. Restablezca el valor de tiempo de espera de ambos protocolos a sus valores predeterminados: 180 segundos.
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : Protocols to be scanned: HTTP: (seleccione) ALL HTTP: (seleccione) SMTP: (seleccione) POP3: (anule la seleccin) FTP: (anule la seleccin) IMAP: (anule la seleccin) Nota: Para cambiar el valor del tiempo de espera, debe utilizar la interfaz CLI.
CLI
set av scan-mgr content smtp timeout 180 set av scan-mgr content http timeout 180 unset av http webmail enable unset av scan-mgr content pop3 unset av scan-mgr content ftp unset av scan-mgr content imap save
105
Anlisis antivirus
Descompresin y tamao mximo de los contenidos

Cuando recibe contenidos, el analizador AV interno descomprime cualquier archivo que est comprimido. De forma predeterminada, descomprime hasta dos niveles de archivos comprimidos. Por ejemplo, si el analizador recibe un archivo comprimido que incluye otro archivo adjunto tambin comprimido, el analizador los descomprimir para detectar cualquier virus. Puede configurar el analizador AV interno para que descomprima hasta 4 archivos comprimidos unos dentro de otros. El analizador AV examina un mximo de 16 mensajes y 16 MB de contenido descomprimido (10 MB de forma predeterminada) en un momento determinado. Si el nmero total de mensajes o el tamao del contenido recibido juntos exceden estos lmites, el analizador permitir de forma predeterminada el paso del contenido sin examinarlo. Por ejemplo, el analizador puede recibir y examinar cuatro mensajes de 4 MB cada uno. Si el analizador recibe nueve mensajes de 2 MB cada uno, permitir su paso sin examinar el contenido. Puede modificar este comportamiento predeterminado de modo que el analizador descarte el trfico en lugar de permitir su paso.
Ejemplo: Descartar archivos de gran tamao

En este ejemplo configurar el analizador AV para que descomprima hasta 3 archivos unos dentro de otros. Tambin configurar el analizador para que descarte el contenido si los archivos recibidos simultneamente son ms de cuatro o el tamao descomprimido de los contenidos es superior a 12 MB.
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga clic en OK : File decompression: 3 layers (1~4) Drop: (seleccione) file if it exceeds 3000 KB (4000~16000) Drop: (seleccione) file if the number of files exceeds 4 files (1~16)
CLI
set av set av set av set av save scan-mgr scan-mgr scan-mgr scan-mgr decompress-layer 3 max-msgs 4 max-content-size 3000 max-content-size drop
106
Anlisis antivirus
Asignacin de recursos a AV
Un usuario con malas intenciones puede generar una gran cantidad de trfico simultneamente para intentar consumir todos los recursos disponibles y de ese modo impedir que el analizador AV analice otro trfico de datos. Para evitar que esto suceda, el dispositivo NetScreen puede determinar el porcentaje mximo de recursos AV que puede consumir el trfico de un nico origen. De forma predeterminada, el porcentaje mximo es del 70%. Puede modificar este ajuste a cualquier valor entre 1% y 100%. Si se ajusta al 100%, no habr ninguna restriccin a la cantidad de recursos AV que pueda consumir el trfico que provenga de un nico origen.
WebUI
Nota: Para configurar esta opcin debe utilizar la interfaz CLI.
CLI
set av all resources number unset av all resources El comando unset av restablece al valor predeterminado (70%) el porcentaje mximo de recursos AV por origen.
107
Anlisis antivirus
Comportamiento en modo de fallo

El modo de fallo es el comportamiento que el dispositivo NetScreen aplica cuando no puede finalizar una operacin de anlisis: permitir el paso del trfico sin analizar, o bien bloquearlo. De forma predeterminada, si un dispositivo NetScreen no puede finalizar un anlisis, bloquea el trfico que permitira una directiva con la comprobacin antivirus habilitada. Este comportamiento predeterminado se puede modificar para que permita el paso del trfico.
WebUI
Screening > Antivirus > Global: Seleccione Fail Mode Traffic Permit para permitir el paso del trfico sin examinar, o anule la seleccin para bloquearlo, y luego haga clic en Apply .
CLI
set av all fail-mode traffic permit unset av all fail-mode traffic El comando unset av restablece el comportamiento en modo de fallo a su valor predeterminado (bloquear el trfico no analizado).
Mtodo HTTP Keep-Alive

De forma predeterminada, el dispositivo NetScreen utiliza la opcin de conexin HTTP close para indicar el final de la transmisin de datos. (Si es necesario, el dispositivo NetScreen modifica el token del encabezado de la conexin de keep-alive a close). En este mtodo, cuando el servidor HTTP completa la transmisin de datos, enva un comando TCP FIN para cerrar la conexin TCP y as indicar que ha finalizado el envo de datos. Cuando el dispositivo NetScreen recibe un comando TCP FIN, contiene todos los datos HTTP del servidor y puede ordenar al analizador AV que comience el anlisis. Puede cambiar el comportamiento predeterminado del dispositivo NetScreen para utilizar la opcin de conexin HTTP keep-alive, en la que no se enva un comando TCP FIN para indicar el final de la transmisin de datos. El servidor HTTP debe indicar de otra forma que se han enviado todos los datos, ya sea enviando la longitud de los contenidos en el encabezado HTTP o con alguna otra forma de codificacin. (El mtodo que se utilice depender
108
Anlisis antivirus
del tipo de servidor). Este mtodo hace que la conexin TCP permanezca abierta mientras se realice el anlisis antivirus, lo que disminuye la latencia y mejora el rendimiento de la CPU. Sin embargo, no resulta tan seguro como el mtodo de conexin close. Este comportamiento se puede modificar si detecta que las conexiones HTTP superan el tiempo de espera durante el anlisis antivirus.
WebUI
Screening > Antivirus > Global: Seleccione Keep Alive para usar la opcin de conexin keep-alive, o anule la seleccin para usar la opcin de conexin close, y luego haga clic en Apply .
CLI
set av http keep-alive unset av http keep-alive
Goteo HTTP
Como goteo HTTP se entiende el reenvo de cantidades especficas de trfico HTTP no analizado al cliente HTTP solicitante. De este modo se evita que la ventana del explorador sobrepase el tiempo de espera mientas VirusWall examina los archivos HTTP descargados. (El dispositivo NetScreen reenva pequeas cantidades de datos antes de transferir un archivo analizado completo). De forma predeterminada, el goteo HTTP est inhabilitado. Para habilitarlo y utilizar los parmetros predeterminados del goteo HTTP, siga uno de estos pasos:
WebUI
Screening > Antivirus > Global: Seleccione la casilla de verificacin Trickling Default y haga clic en Apply .
CLI
set av http trickling default Con los parmetros predeterminados, el dispositivo NetScreen emplea el goteo si el tamao de un archivo HTTP supera 3 MB de tamao. Reenviar 500 bytes de contenido por cada megabyte enviado a analizar.
109
Anlisis antivirus
Para cambiar los parmetros del goteo HTTP, siga uno de estos pasos:
WebUI
Screening > Antivirus > Global: Introduzca los siguientes datos y haga clic en Apply : Trickling: Custom: (seleccione) Minimum Length to Start Trickling: Indique number1 . Trickle Size: Indique number2 . Trickle for Every MB Sent for Scanning: Indique number3 .
CLI
set av http trickling number1 number3 number2 Las tres variables numricas tienen los siguientes significados: number1: tamao mnimo (en megabytes) de un archivo HTTP para que comience el goteo number2: tamao (en bytes) del trfico no analizado que reenviar el dispositivo NetScreen number3: tamao (en megabytes) de un bloqueo de trfico al que el dispositivo NetScreen aplicar el goteo Nota: Los datos sometidos al proceso de goteo en el disco duro del cliente aparecern como un pequeo archivo sin utilidad. Dado que el goteo funciona reenviando pequeas cantidades de datos a un cliente sin analizarlos, el cdigo malicioso podra encontrarse entre los datos que el dispositivo NetScreen ha enviado al cliente por goteo. Juniper Networks recomienda a los usuarios que eliminen esos archivos. Puede inhabilitar el goteo HTTP por medio de la interfaz WebUI (Screening > Antivirus: haga clic en Disable en la seccin Trickling) o con el comando CLI set av http trickling 0 0 0 . En cualquier caso, si el archivo que se va a descargar supera los 8 MB y se ha desactivado el goteo HTTP, es muy probable que la ventana del explorador rebase el tiempo de espera.
Filtrado de URL
FILTRADO DE URL
El filtrado de URL, denominado tambin filtrado de web, permite administrar los accesos a Internet e impedir el acceso a contenidos no apropiados. NetScreen proporciona dos soluciones de filtrado de URL: Filtrado de URL integrado Filtrado de URL redirigida
Con el filtrado de URL integrado, puede permitir o bloquear el acceso a un sitio solicitado asociando un perfil de filtrado de URL a una directiva de cortafuegos. Un perfil de filtrado de URL especifica las categoras de URL y la accin que el dispositivo NetScreen debe llevar a cabo (permitir o bloquear) cuando recibe una peticin para acceder a una URL de cada categora. Las categoras de URL pueden ser las predefinidas que se encuentran en SurfControl o pueden estar definidas por el usuario. Para ms informacin sobre cmo configurar la funcin de filtrado de URL integrado, consulte Filtrado de URL integrado en la pgina 112. Con el filtrado de URL redirigida, el dispositivo NetScreen enva la primera peticin HTTP de una conexin TCP a un servidor Websense o a un servidor SurfControl. Esto le permite bloquear o permitir el acceso a diferentes sitios basndose en las URL, los nombres de dominio y las direcciones IP. Para ms informacin sobre cmo configurar la funcin de filtrado de URL redirigida, consulte Redireccionamiento del filtrado de URL en la pgina 126.
111
Filtrado de URL
Filtrado de URL integrado

Con el filtrado de URL integrado, el dispositivo NetScreen intercepta cada peticin HTTP y luego determina si permite o bloquea el acceso a un sitio solicitado. Para ello, establece la categora de su URL y la compara con un perfil de filtrado URL. Un perfil de filtrado de URL se asocia a una directiva. Un perfil de filtrado de URL define, segn la categora, la accin que el dispositivo NetScreen lleva a cabo (permitir o bloquear el acceso) cuando recibe una peticin para acceder a una URL. Una categora de URL es una lista de URLs organizadas segn su contenido. Los dispositivos NetScreen utilizan las categoras de URL predefinidas en SurfControl para determinar la categora de una URL. Los servidores SurfControl Content Portal Authority (CPA) contienen la mayor base de datos de todos los tipos de contenidos web clasificados en unas 40 categoras. Para obtener una lista de categoras de URL predefinidas y una descripcin de las URL de cada categora, visite la pgina web de SurfControl en www.surfcontrol.com. Adems de las categoras de URL predefinidas por SurfControl, puede agrupar las URLs y crear categoras especficas segn sus necesidades. Para obtener informacin acerca de las categoras definidas por el usuario, consulte Categoras URL en la pgina 115. A continuacin se muestra la secuencia bsica de acontecimientos que se produce cuando un host de la zona Trust intenta establecer una conexin HTTP con un servidor de la zona Untrust. 1. El dispositivo NetScreen comprueba si hay una directiva de cortafuegos que se aplique al trfico. Si no hay directiva de cortafuegos para el trfico, lo descarta. Si hay una directiva de cortafuegos y el filtrado de URL est activado en dicha directiva, el dispositivo NetScreen intercepta todas las peticiones HTTP. El dispositivo NetScreen comprueba si hay un perfil definido por el usuario que est asociado a la directiva de cortafuegos. Si no hay ninguno, utiliza el perfil predeterminado, ns-profile . El dispositivo NetScreen comprueba si la categora de la URL solicitada ya se guard en cach. Si la categora de la URL no est guardada en cach, el dispositivo NetScreen enva la URL al servidor SurfControl CPA para su clasificacin, y guarda en cach el resultado. Una vez que el dispositivo NetScreen establece la categora de la URL, comprueba si sta se encuentra en el perfil de filtrado de URL que est relacionado con la directiva de cortafuegos. Si la categora se encuentra en el perfil, el dispositivo bloquea o permite el acceso a la URL tal y como se especifique en el perfil. Si la categora no est en el perfil, realiza la accin predeterminada que est configurada.
112
2. 3.
4.
Filtrado de URL
Para configurar un dispositivo NetScreen para el filtrado de URL, debe llevar a cabo los siguientes pasos: 1. 2. 3. 4. 5. Configure un servidor de nombres de dominio (DNS). Active el filtrado de URL integrado en el dispositivo NetScreen. Defina las categoras (opcional). Defina los perfiles (opcional). Habilite el filtrado de URL en una directiva de cortafuegos y, de forma opcional, aplique un perfil de filtrado de URL a la directiva de cortafuegos.
Las secciones siguientes describen cada paso.
Servidor de nombres de dominios (DNS)

El dispositivo NetScreen es compatible con DNS, lo que permite utilizar tanto nombres de dominios como direcciones IP para identificar ubicaciones. Debe configurar al menos un servidor DNS de modo que el dispositivo NetScreen pueda resolver el nombre del servidor CPA para una direccin. Para obtener informacin sobre el DNS, consulte Compatibilidad con DNS (sistema de nombres de dominio) en la pgina 2 -379).
Contexto de filtrado de URL

Puede utilizar los comandos WebUI o CLI para habilitar el filtrado de URL integrado en un dispositivo NetScreen. Si utiliza la interfaz CLI, debe introducir el contexto de filtrado de URL antes de indicar los comandos especficos en el filtrado de URL integrado. Introduzca el siguiente comando: set url protocol sc-cpa Despus de haber introducido el comando anterior, el mensaje se modificar. ns(url:sc-cpa)-> Este cambio indica que ha entrado en el contexto de filtrado de URL y puede configurar los parmetros del filtrado de URL integrado.
113
Filtrado de URL
Ejemplo: Activar el filtrado de URL

En este ejemplo, habilitar el filtrado de URL integrado en un dispositivo NetScreen.
WebUI
Screening > URL Filtering > Protocol Selection: Seleccione Integrated (SurfControl) , y luego haga clic en Apply . Luego seleccione Enable URL Filtering via CPA Server y haga clic en Apply de nuevo.
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set enable ns(url:sc-cpa)-> exit ns-> save
114
Filtrado de URL
Categoras URL
Una categora es una lista de URLs agrupadas por su contenido. Hay dos tipos de categoras: predefinidas y definidas por el usuario. SurfControl contiene cerca de 40 categoras predefinidas. Para obtener una lista de categoras de URL predefinidas y una descripcin de las URL de cada categora, visite la pgina web de SurfControl en www.surfcontrol.com. Para visualizar la lista de categoras URL predefinidas de SurfControl, ejecute el comando siguiente:
WebUI
Screening > URL Filtering > Profile > Predefine Category
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> get category pre La lista de categoras mostrada es similar al siguiente: Type code Category name -----------------------------------------PreDefine 90 Adult/Sexually Explicit PreDefine 76 Advertisements PreDefine 50 Arts & Entertainment PreDefine 3001 Chat PreDefine 75 Computing & Internet PreDefine 91 Criminal Skills . . . La lista de categoras predefinidas muestra las categoras y sus cdigos internos de SurfControl. Aunque no puede hacer una lista de las URLs dentro de una categora, puede determinar la categora de un sitio web usando la funcin Test A Site en el sitio web de SurfControl en www.surfcontrol.com.
115
Filtrado de URL
Adems de las categoras de URLs predefinidas por SurfControl, puede agrupar las URLs y crear categoras especficas segn sus necesidades. Puede incluir hasta 20 URL en cada categora. Cuando cree una categora, puede agregar la URL o la direccin IP de un sitio. Cuando se agrega una URL a una categora definida por el usuario, el dispositivo NetScreen realiza una consulta de DNS, reuelve el nombre de host en direcciones IP y guarda en cach esta informacin. Cuando un usuario intenta acceder un sitio escribiendo la direccin IP, el dispositivo NetScreen comprueba la lista grabada en cach de las direcciones IP e intenta resolver el nombre del host. Muchos sitios tienen direcciones IP dinmicas, por lo tanto sus direcciones IP cambian cada cierto tiempo. Un usuario que intente acceder a un sitio puede escribir a una direccin IP que no est en la lista guardada en cach en el dispositivo NetScreen. Por lo tanto, si conoce a las direcciones IP de los sitios que est agregando a una categora, escriba tanto la URL como la(s) direccin(es) IP del sitio. Tenga en cuenta que si una URL est tanto en una categora definida por el usuario como en una categora predefinida, el dispositivo NetScreen empareja la URL con la categora definida por el usuario.
Ejemplo: Categora de URL

En este ejemplo, crear una categora denominada Competitors, y aadir las URL: www.games1.com and www.games2.com.
WebUI
Screening > URL Filtering > Profile > Custom List > New: Introduzca los siguientes datos y haga clic en Apply: Category Name: Competitors URL: www.games1.com Introduzca los siguientes datos y haga clic en OK: URL: www.games2.com
116
Filtrado de URL
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set category competitors url www.games1.com ns(url:sc-cpa)-> set category competitors url www.games2.com ns(url:sc-cpa)-> exit ns-> save
Perfiles de filtrado URL

Un perfil de filtrado de URL consiste en un grupo de categoras de URL y sus correspondientes acciones: Permit: el dispositivo NetScreen permite el acceso al sitio. Block: El dispositivo NetScreen no permite el acceso al sitio. Cuando el dispositivo NetScreen bloquea el acceso a un sitio, muestra un mensaje en el que se indica la categora de URL. Black List: El dispositivo NetScreen siempre bloquea el acceso a los sitios que se encuentran en la lista negra (black list). Para la lista negra, puede crear una categora definida por el usuario o utilizar una categora predefinida. White List: El dispositivo NetScreen siempre permite el acceso a los sitios que se encuentran en la lista blanca (white list). Para la lista blanca, puede crear una categora definida por el usuario o utilizar una categora predefinida.
NetScreen proporciona un perfil predeterminado que se denomina ns-profile . Este perfil incluye una lista de las categoras de URL predefinidas en SurfControl y sus acciones correspondientes. Un perfil predeterminado no se puede editar ni se puede aadir a una lista blanca o negra. Para visualizar el perfil NetScreen preestablecido, ejecute el siguiente comando:
WebUI
Screening > URL Filtering > Profile > Predefined Profile
CLI
ns(url:sc-cpa)-> get profile ns-profile
Filtrado de URL
El dispositivo NetScreen muestra el perfil preestablecido tal y como se indica a continuacin: url filtering profile name: ns-profile black-list category: none white-list category: none Category Action -------------------------------------------Adult/Sexually Explicit block Advertisements block Arts & Entertainment permit Chat permit Computing & Internet permit . . . Violence block Weapons block Web-based Email permit other permit Si la URL de una peticin HTTP no se encuentra en ninguna de las categoras incluidas en el perfil predeterminado, la accin predeterminada del dispositivo NetScreen es permitir el acceso al sitio. Puede crear un perfil que sea similar a ns-profile duplicndolo y editando un nuevo perfil. Para duplicar el ns-profile, lleve a cabo el siguiente procedimiento en la WebUI.
WebUI
Screening > URL Filtering > Profile > Custom Profile: ns-profile: Seleccione Clone . Nota: Debe utilizar la interfaz WebUI para duplicar el perfil predefinido ns-profile.
118
Filtrado de URL
Tambin puede crear su propio perfil de filtrado de URL. Cuando se crea un perfil de filtrado URL, se puede: Agregar las categoras de URL definidas por el usuario y las predefinidas de SurfControl Especificar una categora para la lista negra o para la lista blanca Modificar la accin predeterminada
Ejemplo: Perfil de filtrado de URL

En este ejemplo, crear un perfil de cliente denominado my-profile con la accin permit predeterminada. A continuacin, aadir la categora creada en el ejemplo anterior (Competitors) al prefil my-profile con la accin block. Tenga en cuenta que, cuando configure la accin predeterminada utilizando CLI, debe especificar la accin para la categora Other.
WebUI
Screening > URL Filtering > Profile > Custom Profile > New: Introduzca los siguientes datos y haga clic en Apply : Profile Name: my-profile Default Action: Permit Seleccione los siguientes datos y haga clic en OK : Subscribers Identified by: Category Name: Competitors (seleccione) Action: Block (seleccione) Configure: Add (seleccione)
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set profile my-profile other permit ns(url:sc-cpa)-> set profile my-profile competitors block ns(url:sc-cpa)-> exit ns-> save
Filtrado de URL
Perfiles y directivas de URL

Las directivas de cortafuegos permiten o deniegan determinados tipos de trfico unidireccional entre dos puntos. (Para obtener ms informacin sobre las directivas de cortafuegos, consulte Directivas en la pgina 2 -307.) En una directiva se puede activar tanto el anlisis antivirus (AV) como el filtrado de URL integrado. (Para obtener informacin sobre anlisis AV, consulte Anlisis antivirus en la pgina 86). Cuando se habilita el filtrado de URL integrado en una directiva, el dispositivo NetScreen intercepta todas las peticiones HTTP. Si hay un perfil de filtrado de URL asociado a la directiva, el dispositivo NetScreen empareja la URL de la peticin HTTP entrante con las categoras del perfil siguiendo la siguiente secuencia: lista negra, lista blanca, categoras definidas por el usuario y categoras de URL predefinidas de SurfControl. Si el dispositivo NetScreen no encuentra la categora de la URL solicitada, bloquea o permite el acceso a la URL basndose en la accin predeterminada que est configurada.
Peticin HTML
En lista negra? S Bloquear URL
En lista blanca? S Permitir URL
En categora de usuario? S Bloquear/permitir segn lo definido
En categora predefinida? S
Predeterminado: Bloquear/Permitir
Bloquear/permitir segn lo definido
Si la URL est autorizada, el dispositivo NetScreen lleva a cabo un anlisis AV del contenido de la transaccin siempre que dicho anlisis AV est activado y configurado. Si la URL est bloqueada, el dispositivo NetScreen cierra la conexin TCP, enva un mensaje al usuario y no comprueba si se ha realizado un anlisis AV.
120
Filtrado de URL
Ejemplo: Filtrado de URL integrado

En este ejemplo, habilitar el filtrado de URL integrado en el dispositivo NetScreen y bloquear el acceso a los sitios de la competencia. Realice la siguiente configuracin: 1. 2. 3. 4. 5. Cree una categora llamada Competitors. Agregue las siguientes URL a la categora: www.comp1.com and www.comp2.com. Cree un perfil denominado my-profile. Agregue la categora Competitors a my-profile. Aplique my-profile a una directiva cortafuegos.
WebUI
1. Filtrado de URL
Screening > URL Filtering > Protocol Selection: Seleccione Integrated (SurfControl) , y luego haga clic en Apply . Luego seleccione Enable URL Filtering via CPA Server y haga clic en Apply de nuevo.
2.
Categora de URL
Screening > URL Filtering > Profile > Custom List > New: Introduzca los siguientes datos y haga clic en Apply : Category Name: Competitors URL: www.comp1.com Introduzca los siguientes datos y haga clic en OK : URL: www.comp2.com
121
Filtrado de URL
3.
Perfil de filtrado de URL

Screening > URL Filtering > Profile > Custom Profile > New: Introduzca los siguientes datos y haga clic en Apply : Profile Name: my-profile Default Action: Permit En la seccin Subscribers Identified by , realice la siguiente seleccin y a continuacin haga clic en OK : Category Name: Competitors (seleccione) Action: Block (seleccione) Configure: Add (seleccione)
4.
Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP URL Filtering: (seleccione), my-profile Action: Permit
122
Filtrado de URL
CLI
1. Filtrado de URL
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set enable
2.
Categora de URL
ns(url:sc-cpa)-> set category competitors url www.comp.com ns(url:sc-cpa)-> set category competitors url www.comp.com
3.
Perfil de filtrado de URL

ns(url:sc-cpa)-> set profile my-profile other permit ns(url:sc-cpa)-> set profile my-profile competitors block ns(url:sc-cpa)-> exit
4.
Directiva de cortafuegos
ns-> set policy ns-> set policy ns(policy:23)-> ns(policy:23)-> ns-> save id 23 from trust to untrust any any http permit url-filter id 23 set url protocol sc-cpa profile my-profile exit
123
Filtrado de URL
Servidores SurfControl
SurfControl posee tres ubicaciones de servidor, cada una de las cuales presta servicio a un rea geogrfica determinada: Amrica, Asia y el Pacfico y Europa central y del este y frica. El servidor primario predeterminado es el de Amrica y el servidor de respaldo predeterminado es el de Asia y el Pacfico. Puede modificar el servidor primario y, en funcin del que se escoja, el dispositivo NetScreen selecciona automticamente un servidor de respaldo. (El servidor de Asia y el Pacfico es el servidor de respaldo del servidor para Amrica, que a su vez es el servidor de respaldo de los otros dos). El servidor SurfControl CPA actualiza sus listas de categoras de forma peridica. Puesto que el servidor CPA no enva ninguna notificacin a sus clientes cuando actualiza las listas, el dispositivo NetScreen hace un sondeo del servidor CPA de forma peridica. De forma predeterminada, cada dos semanas el dispositivo NetScreen realiza consultas al servidor CPA sobre las actualizaciones. Puede modificar este valor predeterminado para que se ajuste a su entorno de red. Tambin puede actualizar la lista de categoras de forma manual, para ello indique el contexto de filtrado de URL y ejecute el comando exec url cate-list-update .
124
Filtrado de URL
Cach del filtrado de URL

De forma predeterminada, el dispositivo NetScreen guarda en cach la clasificacin de las URLs por categoras. Esto reduce la sobrecarga que supone el acceso al servidor SurfControl CPA cada vez que un dispositivo recibe una nueva peticin de una URL solicitada anteriormente. Se puede configurar el tamao del cach y el tiempo que las URLs permanecen en ella en funcin del rendimiento y los requisitos de memoria del entorno de red. El tamao del cach depende de la plataforma y el tiempo de espera predeterminado es de 24 horas.
Ejemplo: Parmetros del cach

En este ejemplo, modificar el tamao del cach a 400 kB y el tiempo de espera a 18 horas.
WebUI
Screening > URL Filtering > Protocol Selection > SC-CPA: Introduzca los siguientes datos y haga clic en Apply : Enable Cache: (seleccione) Cache Size: 400 (K) Cache Timeout: 18 (Hours)
CLI
ns-> set url protocol sc-cpa ns(url:sc-cpa)-> set cache size 400 ns(url:sc-cpa)-> set cache timeout 18 ns(url:sc-cpa)-> exit ns-> save
125
Filtrado de URL
Redireccionamiento del filtrado de URL

NetScreen admite el redireccionamiento del filtrado de URL usando Websense Enterprise Engine o SurfControl Web Filter, que permite bloquear o permitir el acceso a diferentes sitios basndose en sus URLs, nombres de dominio y direcciones IP. El dispositivo NetScreen se puede conectar directamente con un servidor Websense o SurfControl de filtrado de URL. Nota: Para obtener informacin adicional sobre Websense, visite la pgina web www.websense.com. Para obtener informacin adicional sobre SurfControl, visite www.surfcontrol.com. La siguiente ilustracin muestra la secuencia bsica de acontecimientos que se produce cuando un host en la zona Trust intenta establecer una conexin HTTP con un servidor en la zona Untrust. Sin embargo, el filtrado de URL determina que la URL est prohibida.
URL bloqueada
set policy from trust to untrust any any http permit url-filter Cliente HTTP Servidor de filtrado de URL (en la zona Trust) 3 Peticin de filtrado de URL 4 Respuesta de filtrado de URL: block (bloquear) Servidor HTTP
Establecimiento de comunicacin TCP de 1 3 fases Peticin 2 HTTP-Get
Zona Trust
SYN ACK HTTP GET
Zona Untrust
SYN / ACK
El dispositivo NetScreen intercepta y almacena en bfer la peticin HTTP GET. A continuacin enva la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de bloqueo.
Mensaje de URL bloqueada TCP RST
BLCK URL RST

El dispositivo NetScreen descarta el paquete HTTP y enva al origen un mensaje blocked URL. Cierra la conexin, enviando un TCP RST a las direcciones de origen y de destino.
RST
126
Filtrado de URL
Si el servidor de filtrado de URL permite el acceso a la URL, la secuencia de acontecimientos en el intento de conexin HTTP ser tal y como se indica a continuacin:
URL permitida
set policy from trust to untrust any any http permit url-filter Cliente HTTP Servidor de filtrado de URL (en la zona Trust) 3 Peticin de filtrado de URL
4 Respuesta de filtrado de URL: permit (permitir)
Servidor HTTP
Zona Trust Establecimiento de comunicacin TCP de 3 fases Peticin HTTP-Get 1 2

SYN ACK HTTP GET
Zona Untrust
SYN / ACK
El dispositivo NetScreen intercepta y almacena en bfer la peticin HTTP GET. A continuacin enva la URL solicitada al servidor de filtrado de URL. El servidor de filtrado de URL responde con un mensaje de permiso.
Reenvo de la peticin HTTP GET
HTTP GET HTTP PUT

El dispositivo NetScreen reenva el paquete HTTP almacenado en bfer a la direccin de destino. Tambin permite el paso de otras peticiones HTTP GET en la misma sesin sin realizar ms filtrados de URL.
HTTP GET
Otras peticiones HTTP GET sin 6 filtrado URL
HTTP PUT HTTP GET HTTP PUT HTTP GET
127
Filtrado de URL
Los dispositivos NetScreen con sistemas virtuales admiten hasta ocho servidores de filtrado de URL distintos: un servidor reservado para el sistema raz, que se puede compartir con un nmero ilimitado de sistemas virtuales, y siete servidores de filtrado de URL para el uso privado por parte de los sistemas virtuales. Un administrador del nivel raz puede configurar el mdulo de filtrado de URL en el nivel de sistema raz y el nivel de sistemas virtuales (vsys). Un administrador del nivel vsys puede configurar el mdulo URL de su propio sistema virtual, siempre que dicho sistema disponga de su propio servidor de filtrado de URL dedicado. Si el administrador del nivel vsys utiliza los ajustes del servidor raz de filtrado de URL, podr ver (pero no modificar) los ajustes de filtrado de URL de nivel raz. Para configurar un dispositivo NetScreen para el reenvo del filtrado de URL, debe llevar a cabo los siguientes pasos: 1. 2. Establezca la comunicacin con un mximo de ocho servidores de filtrado URL. Defina ciertos parmetros de comportamiento en el nivel de sistema. Un conjunto de parmetros se puede aplicar al sistema raz y a cualquier vsys que comparta la configuracin de filtrado de URL con el sistema raz. Otros conjuntos se pueden aplicar a sistemas virtuales que dispongan de su propio servidor de filtrado de URL dedicado. Active el filtrado de URL a los niveles raz y vsys. Habilite el filtrado de URL en directivas individuales.
3. 4.
A continuacin se detallan estos pasos.
1.
Comunicaciones de dispositivo a dispositivo

Puede configurar el dispositivo NetScreen para que se comunique con un servidor WebSense o un servidor SurfControl. Primero debe seleccionar el servidor con el que va a conectar el dispositivo NetScreen. Seleccione una de las siguientes opciones: Un servidor Websense. Un servidor SurfControl que utilice SurfControl Content Filtering Protocol (SCFP). Seleccione este servidor para esta caracterstica. Un servidor SurfControl que utilice Content Portal Authority (CPA). Utilcelo si desea la solucin de filtrado de URL integrado. (Para obtener ms informacin sobre el filtrado de URL integrado, consulte Filtrado de URL integrado en la pgina 112). Para seleccionar el tipo de servidor, puede utilizar el siguiente comando CLI: set url protocol type { websense | scfp |sc-cpa }
128
Filtrado de URL
En la interfaz WebUI, seleccione el protocolo en la pgina Screening > URL Filtering > Protocol. Luego debe definir los ajustes del filtrado de URL y los parmetros de comportamiento del dispositivo NetScreen en relacin con el filtrado URL. Si configura estos ajustes en el sistema raz, tambin se aplicarn a cualquier sistema virtual que comparta la configuracin de filtrado de URL con el sistema raz. En el caso de un sistema virtual que disponga de su propio servidor de filtrado de URL dedicado, el administrador raz o el administrador vsys deber configurar los ajustes por separado para ese vsys. Los ajustes de filtrado de URL que debe definir en el nivel de sistema para las comunicaciones de dispositivo a dispositivo son stos: Server Name: direccin IP o nombre de dominio completo (FQDN) del equipo en el que se ejecuta el servidor Websense o SurfControl. Server Port: si ha modificado el puerto predeterminado en el servidor, tambin debe cambiarlo en el dispositivo NetScreen. (El puerto predeterminado de Websense es 15868, y el puerto predeterminado de SurfControl es 62252). Para obtener ms detalles, consulte la documentacin sobre Websense o SurfControl. Source Interface: el origen desde el cual el dispositivo NetScreen inicia las peticiones de filtrado URL a un servidor de filtrado de URL. Communication Timeout: intervalo de tiempo en segundos durante el cual el dispositivo NetScreen espera una respuesta del servidor de filtrado de URL. Si el servidor no responde dentro del tiempo especificado, el dispositivo NetScreen bloquea la peticin o la permite, segn se haya configurado. Para el intervalo de tiempo, puede introducir un nmero entre 10 y 240. Puede utilizar el siguiente comando CLI para configurar estos ajustes: set url server { ip_addr | dom_name } port_num timout_num En la interfaz WebUI, introduzca estos ajustes en los campos correspondientes en la pgina Screening > URL Filtering > Protocol > Websense o en la pgina Screening > URL Filtering > Protocol > SurfControl.
129
Filtrado de URL
2.
Parmetros de comportamiento en el nivel de sistema

En segundo lugar debe definir los parmetros de comportamiento que el sistema (raz o sistema virtual) deber adoptar en relacin con el filtrado de URL. A continuacin se ofrecen las opciones de comportamiento: Si se pierde la conexin con el servidor: si el dispositivo NetScreen pierde el contacto con el servidor de filtrado de URL, puede especificar si desea bloquear (Block) o permitir (Permit) todas las peticiones HTTP. Blocked URL Message Type: el origen del mensaje que el usuario recibe cuando Websense o SurfControl bloquea un sitio. Si selecciona NetPartners Websense/SurfControl , el dispositivo NetScreen reenva el mensaje recibido en la respuesta de bloqueo del servidor Websense o SurfControl. Si selecciona NetScreen , el dispositivo NetScreen enva el mensaje previamente introducido en el campo NetScreen Blocked URL Message. Nota: Si selecciona NetScreen , algunas de las funciones que ofrece Websense, como el redireccionamiento, quedarn suprimidas. NetScreen Blocked URL Message: mensaje que el dispositivo NetScreen enva al usuario tras bloquear un sitio. Puede utilizar el mensaje enviado desde el servidor Websense o SurfControl, o crear un mensaje (de hasta 500 caracteres) para que se enve desde el dispositivo NetScreen. Puede utilizar los siguientes comandos CLI para configurar estos ajustes: set url fail-mode { block | permit } set url type { netScreen | server } set url message string En la interfaz WebUI, introduzca estos ajustes en los campos correspondientes en la pgina Screening > URL Filtering > Protocol > Websense o en la pgina Screening > URL Filtering > Protocol > SurfControl.
130
Filtrado de URL
3.
Activacin en el nivel de sistema

Una vez finalizada la configuracin, debe habilitar el filtrado de URL en el nivel de sistema. En el caso de un dispositivo NetScreen que acte como host para sistemas virtuales, deber habilitar el filtrado de URL para cada sistema en el que desee aplicarlo. Por ejemplo, si desea que el filtrado de URL se aplique en el sistema raz y en un sistema virtual, deber habilitar el filtrado en ambos sistemas. Puede utilizar el siguiente comando CLI para activar y desactivar el filtrado de URL en el nivel de sistema: set url config { disable | enable } En WebUI, seleccione o desactive la casilla de verificacin Enable URL Filtering en la pgina Screening > URL Filtering > Protocol > Websense o en la pgina Screening > URL Filtering > Protocol > SurfControl. Si habilita el filtrado de URL en el nivel de sistema, el dispositivo NetScreen comprobar el trfico HTTP al que se apliquen las directivas (definidas en ese sistema) relativas al filtrado de URL redirigiendo las peticiones HTTP a un servidor Websense o SurfControl. Si deshabilita el filtrado de URL en el nivel de sistema, el dispositivo NetScreen no tendr en cuenta el componente de filtrado de URL en las directivas y las considerar simples directivas de permiso.
4.
Aplicacin en el nivel de directivas

Finalmente podr configurar el dispositivo NetScreen para que entre en contacto con el servidor de filtrado de URL segn cada directiva. Puede utilizar el siguiente comando CLI para habilitar el filtrado de URL en una directiva: set policy from zone to zone src_addr dst_addr service permit url-filter En la interfaz WebUI, seleccione la casilla de verificacin URL Filter en la pgina de configuracin de directivas de aquella en la que desee aplicar el filtrado de URL. Nota: El dispositivo NetScreen informa sobre el estado del servidor Websense o SurfControl. Para actualizar el informe de estado, haga clic en el icono Server Status de la pgina Screening > URL Filtering > Protocol > Websense o de la pgina Screening > URL Filtering > Protocol > SurfControl en la interfaz WebUI.
131
Filtrado de URL
Ejemplo: Configuracin del filtrado de URL

En este ejemplo configurar el dispositivo NetScreen para que se combine con un servidor SurfControl en la direccin IP 10.1.2.5, con el nmero de puerto 62252 (predeterminado). El servidor de filtrado URL se encuentra en la zona Trust. Queremos aplicar el filtrado a todo el trfico HTTP saliente desde hosts situados en la zona Trust hacia hosts en la zona Untrust. Si el dispositivo NetScreen pierde la conexin con el servidor de filtrado URL, queremos que el dispositivo NetScreen permita el trfico HTTP saliente. Si un cliente HTTP solicita el acceso a una URL prohibida, queremos que el dispositivo NetScreen enve el siguiente mensaje: Were sorry, but the requested URL is prohibited. If this prohibition appears to be in error, contact ntwksec@miempresa.com. La interfaz de la zona Untrust es ethernet3 y tiene la direccin IP 1.1.1.1/24. La interfaz de la zona Trust es ethernet1 y tiene la direccin IP 10.1.1.1/24. Las dos zonas se encuentran en el dominio de enrutamiento trust-vr. Como el servidor de filtrado URL no se encuentra en la subred inmediata de una de las interfaces del dispositivo NetScreen, deber agregarle una ruta a travs de ethernet1 y del enrutador interno a 10.1.1.250.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
132
Filtrado de URL
2.
Servidor de filtrado de URL

Screening > URL Filtering > Protocol: Seleccione Redirect (SurfControl) y haga clic en Apply. Introduzca los siguientes datos y haga clic en Apply de nuevo: Enable URL Filtering: (seleccione) Server Name: 10.1.2.5 Server Port: 15868 Communication Timeout: 10 (seconds) If connectivity to the server is lost all HTTP requests: Permit Blocked URL Message Type: NetScreen NetScreen Blocked URL Message: Lo sentimos, pero la URL solicitada est prohibida. Pngase en contacto con ntwksec@mycompany.com.
3.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.1.2.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 10.1.1.250
133
Filtrado de URL
4.
Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP Action: Permit URL Filtering: (seleccione)
CLI
1. Interfaces
set set set set interface interface interface interface ethernet1 ethernet1 ethernet3 ethernet3 zone trust ip 10.1.1.1/24 zone untrust ip 1.1.1.1/24
2.
Servidor de filtrado de URL

set set set set set url protocol type scfp url server 10.1.2.5 15868 10 url fail-mode permit url type NetScreen url message Lo sentimos, pero la URL solicitada est prohibida. Pngase en contacto con ntwksec@mycompany.com. set url config enable
3.
Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250
4.
Directiva
set policy from trust to untrust any any http permit url-filter save
134
Captulo 5
Deep Inspection
Puede habilitar Deep Inspection (DI) en directivas para examinar el trfico permitido y ejecutar las acciones correspondientes si el mdulo de DI en ScreenOS detecta signos de ataque o anomalas en el protocolo. En las secciones siguientes de este captulo se presentan los elementos de Deep Inspection que aparecen en directivas y se explica cmo configurarlos: Resumen de Deep Inspection en la pgina 137 Servidor de la base de datos de objetos de ataque en la pgina 141 Objetos de ataque y grupos en la pgina 149 Protocolos compatibles en la pgina 151 Firmas completas en la pgina 156 Firmas de secuencias TCP en la pgina 157 Anomalas en el protocolo en la pgina 157 Grupos de objetos de ataque en la pgina 158 Desactivacin de objetos de ataque en la pgina 163 Acciones de ataque en la pgina 164 Registro de ataques en la pgina 176 Asignacin de servicios personalizados a aplicaciones en la pgina 179 Objetos de ataque y grupos personalizados en la pgina 187 Objetos de ataque de firma completa definidos por el usuario en la pgina 187 Objetos de ataque de la firma de la secuencia TCP en la pgina 195 Parmetros configurables de anomalas de protocolos en la pgina 198 Negacin en la pgina 200
135
Captulo 5 Deep Inspection
Deep Inspection tambin se puede habilitar a nivel de zonas de seguridad para componentes de HTTP. En la seccin final de este captulo se explican estas opciones SCREEN: Bloqueo granular de los componentes de HTTP en la pgina 207 Controles ActiveX en la pgina 207 Applets de Java en la pgina 208 Archivos EXE en la pgina 208 Archivos ZIP en la pgina 208
136
Resumen de Deep Inspection
RESUMEN DE DEEP INSPECTION

Deep Inspection (DI) es un mecanismo para filtrar el trfico permitido por el cortafuegos de NetScreen. Deep Inspection examina los encabezados de los paquetes de las capas 3 y 4, as como las caractersticas del protocolo y el contenido a nivel de aplicacin de la capa 7 para detectar e impedir cualquier ataque o comportamiento 1 anmalo que pueda presentarse .
Inspeccin de estado completa del cortafuegos
Cumple ? S
Permite o deniega este paquete la directiva?
No Descartar paquete
No Descartar paquete
Cumple un paquete inicial de una sesin los requisitos L3 y L4 de una directiva? o bien Cumple el estado de un paquete en una sesin existente las expectativas en la tabla de sesiones? Permite o deniega este paquete la directiva?
S Firma completa, anomala de protocolo y (en el NetScreen-5000) inspeccin de la secuencia TCP
DI?
Detectado ataque?
S Ejecutar accin de respuesta al ataque
No
No
Reenviar el paquete
Cuando el dispositivo NetScreen recibe el primer paquete de una sesin, examina las direcciones IP de origen y de destino en el encabezado del paquete IP (inspeccin de capa 3) y tanto los nmeros de puerto de origen y de
1. Los dispositivos NetScreen detectan los patrones de trfico anmalo en las capas 3 y 4 (IP y TCP) a travs de opciones SCREEN establecidas a nivel de zonas, no a nivel de directivas. Algunos ejemplos de deteccin de anomalas en el trfico IP y TCP son Barrido de direcciones IP en la pgina 8, Anlisis de puertos en la pgina 10, as como los diversos ataques de inundacin descritos en Ataques DoS contra la red en la pgina 52.
137
destino como el protocolo en el segmento TCP o en el encabezado del datagrama UDP (inspeccin de capa 4). Si los componentes de capas 3 y 4 cumplen los criterios especificados en una directiva, el dispositivo NetScreen aplica al paquete la accin especificada: permitir, denegar o tunelizar2. Cuando el dispositivo NetScreen recibe un paquete destinado a una sesin establecida, lo compara con la informacin de estado actualizada en la tabla de sesiones para determinar si realmente pertenece a la sesin. Si en la directiva aplicable a este paquete est habilitada la opcin Deep Inspection y la accin de la directiva es permit o tunnel, el dispositivo NetScreen analiza ms detenidamente tanto el paquete como la secuencia de datos asociada (stream) en busca de ataques. Busca en el paquete patrones que coincidan con los definidos en uno o varios grupos de objetos de ataque. Los objetos de ataque pueden ser firmas de ataque o anomalas en el protocolo, que el usuario puede definir o descargar al dispositivo NetScreen desde un servidor de base de datos de objetos de ataque3. (Para obtener ms informacin, consulte Objetos de ataque y grupos en la pgina 149 y Objetos de ataque y grupos personalizados en la pgina 187). Basndose en los objetos de ataque especificados en la directiva, el dispositivo NetScreen puede realizar las inspecciones siguientes: Examinar los valores del encabezado y la carga de datos en busca de firmas de ataque completas Comparar el formato del protocolo transmitido con los estndares especificados en las normas RFC y en sus extensiones con respecto a ese protocolo para determinar si ha sido alterado, posiblemente con fines malvolos
Primero: Inspeccin del cortafuegos (capas de red): IP ORIG, IP DEST, Puerto ORIG, Puerto DEST y servicio (Protocolo) Despus: Deep Inspection (capas de red y aplicacin): IP ORIG, IP DEST, Puerto ORIG, Puerto DEST servicio (Protocolo) y Carga de datos
Cortafuegos
Deep Inspection
IP ORIG
IP DEST PTO ORIG PTO DEST PROTO
IP ORIG
Carga de datos
Carga de datos
2.
Si la accin especificada es tunelizar, sta implica un permiso (trfico permitido). Observe que si habilita Deep Inspection (DI) en una directiva cuya accin sea tunelizar, el dispositivo NetScreen ejecuta las operaciones DI especificadas antes de encriptar un paquete saliente y despus de desencriptar un paquete entrante. Para poder descargar objetos de ataque del servidor de base de datos primero es necesario suscribirse al servicio. Para obtener ms informacin, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463.
3.
138
Si el dispositivo NetScreen detecta un ataque, realiza la accin especificada para el grupo de objetos de ataque al que pertenece el objeto de ataque que coincida: cerrar (close), cerrar cliente (close-client), cerrar servidor (close-server), descartar (drop), descartar paquete (drop-packet), ignorar (ignore) o ninguna. Si no encuentra un ataque, reenva el paquete. (Para obtener ms informacin sobre acciones de ataque, consulte Acciones de ataque en la pgina 164). El comando set policy se puede separar conceptualmente en dos partes: la seccin central y el componente DI: La seccin central contiene las zonas de origen y de destino, las direcciones de origen y de destino, uno o 4 ms servicios y una accin . El componente DI ordena al dispositivo NetScreen examinar el trfico permitido por la seccin central de la directiva para saber si hay patrones que coincidan con los objetos de ataque contenidos en al menos un grupo de objetos de ataque. Si el dispositivo NetScreen detecta un objeto de ataque, realiza a continuacin la accin definida para el grupo correspondiente. El siguiente comando set policy contiene un componente de DI:
Seccin central de una directiva Componente de Deep Inspection
Zona de origen Zona de destino
Direccin Servicio Grupo de de origen ataque Direccin de Accin si el trfico cumple los criterios destino de los componentes L3 y L4
Accin si el dispositivo NetScreen detecta un ataque
El comando antedicho ordena al dispositivo NetScreen permitir el trfico HTTP procedente de cualquier direccin de la zona Untrust a la direccin de destino websrv1 de la zona DMZ. Tambin ordena al dispositivo NetScreen examinar todo el trfico HTTP permitido por esta directiva. Si algn patrn de trfico coincide con un objeto de ataque definido en el grupo de objetos de ataque HIGH:HTTP:ANOM, el dispositivo NetScreen cierra la conexin descartando el paquete y enviando notificaciones TCP RST a los hosts en las direccin de origen y destino.
4. Opcionalmente, tambin puede agregar otras extensiones al componente central de un comando set policy : referencias a tneles VPN y L2TP, referencia a una tarea programada, especificaciones de la traduccin de direcciones, especificaciones de la autenticacin de usuarios y ajustes de comprobacin antivirus, registros, recuentos y administracin del trfico. Mientras que estas extensiones son opcionales, los elementos que constituyen el ncleo de una directiva (zonas de origen y de destino, direcciones de origen y de destino, servicio -o servicios- y la accin) son obligatorios. (Una excepcin a esta regla son las directivas globales, en las que no se especifican zonas de origen ni de destino: set policy global src_addr dst_addr service action . Para obtener ms informacin sobre directivas globales, consulte Directivas globales en la pgina 2 -312).
139
Es posible introducir el contexto de una directiva existente utilizando su nmero de identificacin. Por ejemplo: ns-> set policy id 1 ns(policy:1)-> Nota: El smbolo de la lnea de comandos cambia para indicar que el comando siguiente se ejecutar en un contexto de directiva determinado. Introducir el contexto de una directiva resulta prctico para introducir varios comandos relacionados con una sola directiva. Por ejemplo, el siguiente conjunto de comandos crea una directiva que permite el trfico HTTP y HTTPS desde cualquier direccin de Untrust a websrv1 y websrv2 en la zona DMZ y busca ataques HTTP de firma completa y de anomalas de protocolo de gravedad alta y crtica: ns-> set policy id 1 from untrust to dmz any websrv1 http permit attack CRITICAL:HTTP:ANOM action close ns-> set policy id 1 ns(policy:1)-> set dst-address websrv2 ns(policy:1)-> set service https ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server ns(policy:1)-> set attack HIGH:HTTP:ANOM action drop ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server ns(policy:1)-> exit ns-> save La configuracin antedicha permite el trfico HTTP y HTTPS, pero solamente busca posibles ataques en el trfico HTTP. Para poder agregar grupos de objetos de ataque dentro de un contexto de directiva, primero debe especificar un ataque y una accin DI en el comando de nivel superior. En el ejemplo antedicho, puede agregar los grupos de objetos de ataque CRITICAL:HTTP:SIGS, HIGH:HTTP:ANOM y HIGH:HTTP:SIGS porque anteriormente configur la directiva para Deep Inspection con el grupo CRITICAL:HTTP:ANOM. Nota: Puede especificar una accin de ataque diferente para cada grupo de objetos de ataque en una directiva. Si el dispositivo NetScreen detecta simultneamente mltiples ataques, aplica la accin ms severa, que en el ejemplo de arriba es close. Para obtener informacin sobre las siete acciones de ataque, incluidos sus niveles de gravedad, consulte Acciones de ataque en la pgina 164.
140
Servidor de la base de datos de objetos de ataque
SERVIDOR DE LA BASE DE DATOS DE OBJETOS DE ATAQUE

La base de datos de objetos de ataque contiene todos los objetos de ataque predefinidos, organizados en grupos de objetos de ataque por protocolo y nivel de gravedad. Juniper Networks almacena la base de datos de objetos de ataque en un servidor en la direccin https://services.netscreen.com/restricted/sigupdates. Para utilizar los objetos de ataque predefinidos, debe descargar la base de datos de este servidor, cargarlo en su dispositivo NetScreen y luego establecer referencias a determinados grupos de objetos de ataque especficos en directivas5. Para obtener acceso al servidor de la base de datos de objetos de ataque, primero debe suscribirse al servicio de firmas DI para su dispositivo NetScreen. (Para obtener informacin sobre cmo hacerlo, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463). Nota: Puede cargar un certificado de autenticacin (imagekey.cer) para verificar la integridad de la base de datos de objetos de ataque cuando la descargue. Consulte Autenticar firmware y archivos DI en la pgina 2 -447. Existen cuatro maneras de actualizar la base de datos: Immediate Update: Con esta opcin se actualiza la base de datos de objetos de ataque en el dispositivo NetScreen inmediatamente con la base de datos almacenada en el servidor de base de datos de objetos de ataque. Para que esta operacin funcione, primero debe configurar los ajustes del servidor de la base de datos de objetos de ataque. (Para ver un ejemplo, consulte el Ejemplo: Actualizacin inmediata en la pgina 142). Nota: Antes de realizar una actualizacin inmediata de la base de datos, puede utilizar el comando exec attack-db check para comprobar si la base de datos de objetos de ataque en el servidor es ms reciente que la que se encuentra en el dispositivo NetScreen. Automatic Update: Con esta opcin, el dispositivo NetScreen descarga la base de datos de objetos de ataque a las horas programadas por el usuario, siempre que la base de datos del servidor sea una versin ms reciente que la cargada anteriormente en el dispositivo NetScreen. Juniper Networks actualiza la base de datos peridicamente con los nuevos patrones de ataque recin descubiertos. Por lo tanto, debido a su
5.
Puede tambin utilizar NetScreen-Security Manager para descargar las bases de datos de objetos de ataque. Para obtener ms informacin, consulte la NetScreen-Security Manager Administration Guide.
141
naturaleza cambiante, tambin conviene actualizar la base de datos en el dispositivo NetScreen peridicamente. Para que esta operacin funcione, primero debe configurar los ajustes del servidor de la base de datos de objetos de ataque. (Para ver un ejemplo, consulte el Ejemplo: Actualizaciones automticas en la pgina 144). Automatic Notification and Immediate Update: Con esta opcin, el dispositivo NetScreen comprueba a las horas programadas por el usuario si los datos sobre el servidor de la base de datos de objetos de ataque son ms recientes que los del dispositivo NetScreen. Si los datos del servidor son ms recientes, aparece un aviso en la pgina inicial de WebUI y en CLI despus de iniciar sesin en el dispositivo NetScreen. A continuacin, puede ejecutar el comando exec attack-db update o hacer clic en el botn Update Now de la pgina Configuration > Update > Attack Signature de WebUI para guardar la base de datos del servidor en el dispositivo NetScreen. Para que el procedimiento semiautomtico de comprobacin del servidor funcione, primero debe configurar los ajustes del servidor de la base de datos de objetos de ataque. (Para ver un ejemplo, consulte el Ejemplo: Notificacin automtica y actualizacin inmediata en la pgina 145). Manual Update: Con esta opcin, primero utilizar un explorador de web para descargar la base de datos de objetos de ataque a un directorio local o al directorio del servidor TFTP. A continuacin puede cargar la base de datos en el dispositivo NetScreen mediante WebUI (desde el directorio local) o mediante CLI (desde el directorio del servidor TFTP). (Para ver un ejemplo, consulte el Ejemplo: Actualizacin manual en la pgina 147).
Ejemplo: Actualizacin inmediata

En este ejemplo guardar inmediatamente la base de datos de objetos de ataque (el archivo attacks.bin) del servidor correspondiente al dispositivo NetScreen. Utilizar la URL predeterminada: https://services.netscreen.com/restricted/sigupdates. No tiene que establecer esta URL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de forma predeterminada. No necesita establecer una tarea programada para actualizar la base de datos en el dispositivo NetScreen. En lugar de ello, guardar la base de datos del servidor en el dispositivo NetScreen inmediatamente. Nota: Este ejemplo asume que ya dispone de una suscripcin activada para el servicio de firmas de DI para el dispositivo NetScreen. (Para obtener informacin sobre suscripciones, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463).
142
Dispositivo NetScreen local
1. Peticin de actualizacin
Internet
Base de datos de objetos de ataque
2. Actualizacin de la base de datos
https://services.netscreen .com/restricted/sigupdates
WebUI
Configuration > Update > Attack Signature: Haga clic en el botn Update Now .
CLI
ns-> exec attack-db update Loading attack database............. Done. Done. Switching attack database...Done Saving attack database to flash...Done. ns->
143
Ejemplo: Actualizaciones automticas

En este ejemplo establecer una tarea programada para actualizar la base de datos en el dispositivo NetScreen cada lunes a las 4:00. A esa hora programada, el dispositivo NetScreen comparar la versin de la base de datos en el servidor con la del dispositivo NetScreen. Si la versin del servidor es ms reciente, el dispositivo NetScreen reemplazar automticamente su base de datos con la versin ms reciente. Nota: Este ejemplo asume que ya dispone de una suscripcin activada para el servicio de firmas de DI para el dispositivo NetScreen. (Para obtener informacin sobre suscripciones, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463). Utilizar la URL predeterminada: https://services.netscreen.com/restricted/sigupdates. No tiene que establecer esta URL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de forma predeterminada.
Dispositivo NetScreen local 1. Peticin de actualizacin automtica Servidor de la base de datos de objetos de ataque L Internet M X J V S D
2. Actualizacin automtica de la base de datos
URL = https://services.netscreen .com/restricted/sigupdates
WebUI
Configuration > Update > Attack Signature: Introduzca los siguientes datos y haga clic en OK : Database Server: (dejar en blanco) Update Mode: Automatic Update Schedule: Weekly on: Monday6 Time (hh:mm): 04:00
6. Si programa actualizaciones mensualmente y la fecha elegida no existe en algn mes (por ejemplo, el da 31 no existe en algunos meses), el dispositivo NetScreen utiliza en su lugar la ltima fecha posible de ese mismo mes.
144
CLI
set attack db mode update set attack db schedule weekly monday 04:00 save
Ejemplo: Notificacin automtica y actualizacin inmediata

En este ejemplo establecer una tarea programada para comprobar diariamente a las 07:00 la base de datos en el dispositivo NetScreen. Cuando reciba un aviso de que la base de datos del servidor se ha actualizado, haga clic en el botn Update Now de la pgina Configuration > Update > Attack Signature de WebUI o ejecute el comando exec attack-db update para guardar la base de datos del servidor en el dispositivo NetScreen. Nota: Este ejemplo asume que ya dispone de una suscripcin activada para el servicio de firmas de DI para el dispositivo NetScreen. (Para obtener informacin sobre suscripciones, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463). Utilizar la URL predeterminada: https://services.netscreen.com/restricted/sigupdates. No tiene que establecer esta URL para el servidor de la base de datos. El dispositivo NetScreen la utiliza de forma predeterminada.
Dispositivo NetScreen local Servidor de la base de datos de objetos de ataque L Internet URL = https://services.netscreen .com/restricted/sigupdates Base de datos de objetos de ataque 2. Actualizacin inmediata de la base de datos Base de datos de objetos de ataque M X J V S D
1. Comprobacin automtica diaria de la actualizacin
145
WebUI
1. Comprobacin programada de la base de datos
Configuration > Update > Attack Signature: Introduzca los siguientes datos y haga clic en OK : Database Server: (dejar en blanco) Update Mode: Automatic Notification Schedule: Daily Time (hh:mm): 07:00
2.
Actualizacin inmediata de la base de datos

Cuando reciba un aviso de que la base de datos de ataques del servidor est ms actualizada que la del dispositivo NetScreen, haga lo siguiente: Configuration > Update > Attack Signature: Haga clic en el botn Update Now .
CLI
1. Comprobacin programada de la base de datos
set attack db mode notification set attack db schedule daily 07:00
2.
Actualizacin inmediata de la base de datos

Cuando reciba un aviso de que la base de datos de ataques del servidor est ms actualizada que la del dispositivo NetScreen, haga lo siguiente: exec attack-db update
146
Ejemplo: Actualizacin manual

En este ejemplo guardar manualmente la base de datos de objetos de ataque ms reciente en el directorio local C:\netscreen\attacks-db (si desea utilizar WebUI para cargar la base de datos) o en C:\Archivos de Programa\TFTP Server (si prefiere utilizar CLI). A continuacin cargar la base de datos en el dispositivo 7 NetScreen de su directorio local . Para una actualizacin automtica, el dispositivo NetScreen agregar automticamente los siguientes elementos a la URL: Nmero de serie del dispositivo NetScreen Nmero de la versin principal de ScreenOS instalada en el dispositivo Tipo de plataforma Para actualizar manualmente la base de datos, debe agregar estos elementos por su cuenta. En este ejemplo, el nmero de serie es 0043012001000213, la versin de ScreenOS es 5.1 y la plataforma es NetScreen-208 (ns200). Por lo tanto, la URL resultante es: https://services.netscreen.com//restricted/sigupdates/5.1/ns200/attacks.bin?sn=0043012001000213 Nota: Este ejemplo asume que ya dispone de una suscripcin activada para el servicio de firmas de DI para el dispositivo NetScreen. (Para obtener informacin sobre suscripciones, consulte Registro y activacin de los servicios de suscripcin en la pgina 2 -463).
Dispositivo NetScreen local 1. Descarga manual de la base de datos Internet 2. Actualizacin Admin: 10.1.1.5 manual de la C:\netscreen\attacks-db base de C:\Archivos de programa\TFTP datos Server URL = https://services.netscreen.com/ /restricted/sigupdates/5.1/ns200/attacks .bin?sn=0043012001000213 Servidor de la base de datos de objetos de ataque
7.
Despus de descargar la base de datos de objetos de ataque, tambin puede colocarla en un servidor local y configurarla para que otros dispositivos NetScreen puedan acceder a ella. A continuacin, los administradores de los dems dispositivos deben cambiar la URL del servidor de la base de datos a la nueva ubicacin. Pueden introducir la nueva URL en el campo Database Server de la pgina Configuration > Update > Attack Signature o utilizar el comando CLI siguiente: set attack db server url_string .
147
1.
Descarga de la base de datos

Introduzca la URL siguiente en el campo de direccin de su explorador de web: https://services.netscreen.com//restricted/sigupdates/5,1/ns200/attacks.bin?sn=0043012001000213 Guarde el archivo attacks.bin en el directorio local C:\netscreen\attacks-db (para cargar a travs de WebUI) o en el directorio C:\Archivos de programa\TFTP Server del servidor TFTP (cuando desee utilizar CLI para cargarlo).
WebUI
Configuration > Update > Attack Signature: Introduzca los siguientes datos y haga clic en OK : Deep Inspection Signature Update: Load File: Introduzca C:\netscreen\attacks-db\attacks.bin , o haga clic en Browse y navegue a ese directorio, seleccione attacks.bin y finalmente haga clic en Open .
CLI
save attack-db from tftp 10.1.1.5 attacks.bin to flash
148
Objetos de ataque y grupos
OBJETOS DE ATAQUE Y GRUPOS

Los objetos de ataque son firmas completas, firmas de secuencias (en la serie NetScreen-5000) y anomalas de protocolos que un dispositivo NetScreen utiliza para detectar los ataques dirigidos que comprometen a uno o varios hosts de una red. Los objetos de ataque estn agrupados, organizados por tipo de protocolo y luego por gravedad. Cuando se agrega Deep Inspection (DI) a una directiva, el dispositivo NetScreen examina el trfico que sta permite para cualquier patrn que coincida con los del grupo (o grupos) de objetos de ataque al que se hace referencia.
set policy from untrust to dmz any websrv1 http permit attack HIGH:HTTP:SIGS action close
Grupo de ataques: HIGH:HTTP:SIGS /scripts/\.\.%c1%9c\.\./.* PUT \[/users/.*\.asp\].* .*%255(c|C).* .*\[.asp::$data\].* /phorum/plugin/replace/pluring.php?*p
/\[scripts/iisadmin/ism\.dll\?http/dir\].*
revlog/.*
Host remoto 1.1.1.3:25611
NetScreen Untrust: ethernet3 1.1.1.1/24; DMZ: ethernet2 1.2.2.1/24 Zona Untrust SYN SYN/ACK ACK Zona DMZ
websrv1 1.2.2.5:80
IP ORIG
Coincide!
1.1.1.3
1.2.2.5
25611
80
HTTP
Carga: revlog/.
El dispositivo NetScreen detecta un objeto de ataque en el paquete. Descarta el paquete y cierra la conexin enviando notificaciones TCP RST al origen y al destino.
RST
RST
149
Los grupos de objetos de ataque a los que se haga referencia en el componente DI deben apuntar al mismo tipo de servicio que la directiva permita. Por ejemplo, si la directiva permite trfico SMTP, el grupo de objetos de ataque debe tener como objetivo los ataques contra el trfico SMTP. La directiva siguiente muestra una configuracin vlida: set policy id 2 from trust to untrust any any smtp permit attack CRIT:SMTP:SIGS action close La siguiente directiva es incorrecta porque permite el trfico SMTP, pero el grupo de objetos de ataque se refiere al trfico POP3: set policy id 2 from trust to untrust any any smtp permit attack CRIT:POP3:SIGS action close La segunda directiva est mal configurada y, si se implementase, hara que el dispositivo NetScreen consumiese recursos innecesariamente, ya que examinara el trfico SMTP en busca de objetos de ataque POP3 que nunca encontrara. Si la directiva 2 permite tanto el trfico SMTP como el POP3, puede configurar el componente DI para que busque objetos de ataque SMTP, objetos de ataque POP3 o ambos. set set set set group service grp1 group service grp1 add smtp group service grp1 add pop3 policy id 2 from trust to untrust any any grp1 permit attack CRIT:SMTP:SIGS action close set policy id 2 attack CRIT:POP3:SIGS action close
150
Protocolos compatibles
El mdulo Deep Inspection admite objetos de ataque de firma completa y objetos de ataque de anomala de protocolo para los protocolos y aplicaciones siguientes: Protocolos de red bsicos
Protocolo DNS Firma completa S Anomala de protocolo S Definicin El sistema de nombres de dominio (DNS) es un sistema de base de datos para traducir nombres de dominio a las direcciones IP como www.juniper.net = 207.17.137.68. El protocolo de tranferencia de archivos (FTP) es un protocolo para intercambiar archivos entre equipos a travs de una red. El protocolo de transferencia de hipertexto (HTTP) es un protocolo utilizado sobre todo para transferir informacin desde los servidores web a los clientes web. El protocolo de acceso a correo de Internet (IMAP) es un protocolo que proporciona servicios de almacenamiento y recuperacin del correo electrnico entrante, con la opcin de que los usuarios descarguen su correo electrnico o lo dejen en el servidor IMAP. NetBIOS (Sistema bsico de entrada-salida de red) es una interfaz de aplicacin con la que las aplicaciones de las estaciones de trabajo de los usuarios pueden acceder a los servicios de red proporcionados por los transportes de red como NetBEUI, SPX/IPX y TCP/IP. Protocolo de oficina de correo, versin 3 (POP3) es un protocolo que proporciona servicios de almacenamiento y recuperacin del correo electrnico entrante.
FTP
HTTP
IMAP
NetBIOS
POP3
151
Protocolo SMTP
Firma completa S
Anomala de protocolo S
Definicin El protocolo simple de transferencia de correo (SMTP) es un protocolo para la transferencia de correo electrnico entre servidores de correo.
Aplicaciones de mensajera inmediata

Protocolo AIM MSN Messenger Yahoo! Messenger Firma completa S S Anomala de protocolo S S Definicin America Online Instant Messaging (AIM) es la aplicacin de mensajera inmediata de America Online. Microsoft Network Messenger (MSN Messenger) es el servicio de mensajera inmediata proporcionado por Microsoft. Yahoo! Messenger es el servicio de mensajera inmediata proporcionado por Yahoo!.
152
Aplicaciones de red punto a punto (P2P)8

Protocolo BitTorrent Stateful Signature S Protocolo Anomala No Definicin BitTorrent es una herramienta de distribucin de archivos P2P, diseada para proporcionar una forma eficiente de distribucin del mismo archivo a un grupo grande haciendo que todos los que descarguen un archivo tambin se lo carguen a los dems. DC (Direct Connect) es una aplicacin para compartir archivos P2P. Una red DC utiliza concentradores para conectar a grupos de usuarios, a menudo con el requisito de que compartan una cierta cantidad de bytes o archivos. Muchos concentradores ofrecen zonas especiales de inters, creando pequeas comunidades para los usuarios conectados. eDonkey es una aplicacin descentralizada de comparticin de archivos P2P que utiliza el protocolo de tranferencia de archivos de origen mltiple (MFTP). La red de eDonkey admite dos clases de aplicaciones: clientes y servidores. Los clientes se conectan a la red y comparten archivos. Los servidores hacen de concentradores que renen a los clientes. Gnutella es una aplicacin y un protocolo de comparticin de archivos P2P sin ningn servidor centralizado. Otras de las aplicaciones que usan el protocolo de Gnutella son BearShare, Limewire, Morpheus y ToadNode. Kazaa es una aplicacin para compartir archivos P2P descentralizada que usa el protocolo de FastTrack. KaZaa se utiliza principalmente para compartir archivos MP3.
DC (Direct Connect)
No
eDonkey
No
Gnutella
KaZaa
No
153
Protocolo MLdonkey
Stateful Signature S
Protocolo Anomala No
Definicin MLdonkey es una aplicacin cliente P2P que puede ejecutarse en mltiples plataformas y acceder a mltiples redes P2P, como BitTorrent, DC, eDonkey, FastTrack (KaZaa y otros), Gnutella y Gnutella2. Skype es un servicio gratis de telefona por Internet P2P con el que los usuarios pueden hablar entre ellos a travs de una red TCP/IP como Internet. SMB (Bloque de mensajes de servidor) es un protocolo para compartir recursos como archivos e impresoras entre los equipos. SMB funciona encima del protocolo de NetBIOS. WinMX es una aplicacin para compartir archivos P2P con la que un cliente puede conectarse a varios servidores simultneamente.
Skype
No
SMB
WinMX
No
Puertas de enlace en la capa de aplicacin (ALGs):

Protocolo MSRPC Firma completa S Anomala de protocolo S Definicin MSRPC (Llamada a procedimientos remotos de Microsoft) es un mecanismo para ejecutar procesos en un equipo remoto.
8.
Muchas de las aplicaciones P2P mostradas utilizan sus propios protocolos patentados.
154
Si el dispositivo NetScreen dispone de acceso a http://help.netscreen.com/sigupdates/english, puede consultar el contenido de todos los grupos de objetos de ataque predefinidos y ver descripciones de los objetos de ataque predefinidos. Abra su explorador web y escriba una de las siguientes URLs en el campo de direccin: http://help.juniper.net/sigupdates/english/AIM.html http://help.juniper.net/sigupdates/english/DNS.html http://help.juniper.net/sigupdates/english/FTP.html http://help.juniper.net/sigupdates/english/GNUTELLA.html http://help.juniper.net/sigupdates/english/HTTP.html http://help.juniper.net/sigupdates/english/IMAP.html http://help.juniper.net/sigupdates/english/MSN.html http://help.juniper.net/sigupdates/english/NBDS.html http://help.juniper.net/sigupdates/english/NBNAME.html http://help.juniper.net/sigupdates/english/POP3.html http://help.juniper.net/sigupdates/english/SMTP.html http://help.juniper.net/sigupdates/english/MSRPC.html http://help.juniper.net/sigupdates/english/SMB.html http://help.juniper.net/sigupdates/english/YMSG.html Cada una de las URLs antedichas est vinculada a una pgina HTML que contiene una lista de todos los objetos de ataque predefinidos (agrupados por gravedad) para un protocolo determinado. Para consultar la descripcin de un objeto de ataque, haga clic en su nombre.
155
Firmas completas
Una firma de ataque es un patrn que aparece cuando se est produciendo la explotacin de una determinada vulnerabilidad9. La firma puede ser un o patrn de trfico de capa 3 o 4, como cuando una direccin enva muchos paquetes a diversos nmeros de puerto de otra direccin (consulte Anlisis de puertos en la pgina 10) o un patrn textual, como cuando aparece una cadena de URL maliciosa en la carga de datos de un nico paquete HTTP o FTP. La cadena tambin puede ser un segmento de cdigo especfico o un valor determinado en el encabezado del paquete. Sin embargo, cuando el mdulo Deep Inspection (DI) de un dispositivo NetScreen busca un patrn textual, busca algo ms que slo una firma en un paquete; busca la firma en una porcin muy concreta del mismo (incluso aunque est fragmentado o segmentado), en todos los paquetes enviados en un determinado momento durante la vida de la sesin, y enviados por el iniciador de la conexin o por el dispositivo que responde. Cuando el mdulo DI busca un patrn textual, tiene en cuenta los papeles de los participantes (cliente o servidor) y supervisa el estado de la sesin para limitar su bsqueda slo a los elementos afectados por la explotacin de la vulnerabilidad para la que los atacantes utilizan el patrn. La utilizacin de informacin contextual para refinar el anlisis de paquetes reduce significativamente las falsas alarmas (o falsos positivos) y evita el procesamiento innecesario. El trmino firmas completas destaca este concepto de buscar firmas en los contextos de los papeles de los participantes y en el estado de la sesin. Para averiguar qu ventaja tiene considerar el contexto en el que se produce una firma, observe cmo el mdulo NetScreen DI examina los paquetes cuando est habilitado para detectar el ataque EXPN Root. Los atacantes utilizan el ataque EXPN Root para ampliar y exponer las listas de distribucin de un servidor de correo. Para detectar el ataque EXPN Root, el dispositivo NetScreen busca la firma expn root en la porcin de control de una sesin del protocolo simple de transferencia de correo (Simple Mail Transfer Protocol o SMTP). El dispositivo NetScreen examina solamente la porcin de control porque el ataque slo puede producirse ah. Si expn root ocurre en cualquier otra porcin de la sesin, no es un ataque. Aplicando una tcnica textual simple de deteccin de firmas en los paquetes, la firma expn root dispara una alarma incluso aunque aparezca en la porcin de datos de la conexin SMTP; es decir, en el cuerpo de un mensaje de correo electrnico. Si, por ejemplo, estuviese escribiendo a un colega un mensaje sobre ataques EXPN Root, un detector simple de firmas en paquetes lo considerara como un ataque. Utilizando firmas completas, el mdulo NetScreen DI puede distinguir entre cadenas de texto que sealan ataques y las que son ocurrencias inofensivas. Nota: Para ver una lista de los protocolos que tienen objetos de ataque de firma completa predefinidos, consulte Protocolos compatibles en la pgina 151.
9. Dado que el mdulo NetScreen DI admite expresiones regulares, puede utilizar comodines en la bsqueda de patrones. De este modo, una sola definicin de firma de ataque puede aplicarse a mltiples variaciones del patrn de ataque. Para obtener ms informacin sobre expresiones regulares, consulte Expresiones regulares en la pgina 188.
156
Firmas de secuencias TCP

Como ocurre con las firmas completas, una firma de secuencia TCP es un patrn que aparece cuando se est produciendo la explotacin de una vulnerabilidad. Sin embargo, cuando el mdulo DI examina el trfico en busca de firmas completas, busca solamente en contextos concretos. Cuando el mdulo DI examina el trfico en busca de firmas de secuencias TCP, lo hace sin preocuparse de los contextos. Otra diferencia entre ambos tipos de firmas es que, aunque las firmas completas pueden ser predefinidas o definidas por el usuario, las firmas de secuencias TCP slo pueden ser definidas por el usuario. Despus de agregar un objeto de ataque de firma de secuencia a un grupo de objetos de ataque, puede hacer referencia a ese grupo en una directiva que aplique Deep Inspection. (Para obtener ms informacin sobre firmas de secuencias TCP, consulte Objetos de ataque de la firma de la secuencia TCP en la pgina 195). Nota: Las firmas de secuencias TCP slo se pueden definir en sistemas de la serie NetScreen-5000.
Anomalas en el protocolo
Los objetos de ataque que buscan anomalas de protocolos detectan el trfico que incumple los estndares definidos en las normas RFC y extensiones comunes de RFC. Con los objetos de ataque de firma, se debe utilizar un patrn predefinido o crear uno nuevo; por lo tanto, slo se pueden detectar ataques conocidos. La deteccin de anomalas en los protocolos es particularmente til para detectar nuevos ataques o aqullos que no se pueden definir con un patrn textual. Nota: Para ver una lista de los protocolos que tienen objetos de ataque de anomala de protocolo predefinidos, consulte Protocolos compatibles en la pgina 151.
157
Grupos de objetos de ataque

Los grupos de objetos de ataque predefinidos contienen los objetos de ataque para un protocolo especfico. Por cada protocolo, los grupos se dividen en anomalas de protocolos y firmas completas, y luego se organizan de forma aproximada por gravedad. Los tres niveles de gravedad del grupo de objetos de ataque son crtico, alto y medio: Crtical: Contiene objetos de ataque que coincidan con explotaciones de vulnerabilidad que intentan evadir la deteccin, provocan la cada de dispositivos de red u obtienen privilegios a nivel del sistema. High (Alto): Contiene objetos de ataque que coinciden con explotaciones de vulnerabilidades que intentan interrumpir algn servicio, obtener acceso a nivel de usuario a un dispositivo de la red o activar un caballo troyano cargado previamente en un dispositivo. Medium (Medio): Contiene objetos de ataque que coinciden con explotaciones de vulnerabilidades que detectan intentos de reconocimiento para acceder a informacin vital mediante navegacin de directorios (directory traversal) o filtraciones de informacin. Low (Bajo): Contiene objetos de ataque que coinciden con explotaciones de vulnerabilidad que intentan obtener informacin no crtica o exploran una red con una herramienta de exploracin. Info: Contiene objetos de ataque que coinciden con el trfico normal inofensivo que contiene URLs, errores de consulta de DNS, cadenas de comunidad pblica SNMP y parmetros punto a punto (P2P). Puede utilizar objetos de ataque informativos para obtener informacin sobre su red.
158
Cambio de los niveles de gravedad

Aunque los grupos de objetos de ataque estn clasificados por protocolo y nivel de gravedad (crtico, alto, medio), cada objeto de ataque tiene su propio nivel de gravedad especfico: critical, high, medium, low, info. Estos niveles de gravedad de objetos de ataque se corresponden del siguiente modo con los niveles de gravedad para las entradas del registro de eventos:
Nivel de gravedad de objeto de ataque Critical High Medium Low Info - se corresponde con Nivel de gravedad de entrada de registro de eventos Critical Error Warning Notification Information
Por ejemplo, si el dispositivo NetScreen detecta un ataque con el nivel de gravedad "Medium", la entrada correspondiente que aparecer en el registro de eventos tendr el nivel de gravedad "Warning" (advertencia). El nivel de gravedad predeterminado de todos los objetos de ataque se puede anular en uno o ms grupos de objetos de ataque referenciados en una directiva. Esto se realiza a nivel de directiva, entrando en el contexto de una directiva existente y asignando un nuevo nivel de gravedad a todos los grupos de objetos de ataque a los que haga referencia la directiva. A continuacin se muestra cmo cambiar mediante WebUI y CLI el nivel de gravedad de los grupos de objetos de ataque a los que se hace referencia en una directiva:
159
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente procedimiento y haga clic en OK : > Deep Inspection: Seleccione una opcin de gravedad en la lista desplegable Severity y haga clic en OK .
CLI
ns-> set policy id number ns(policy: number )-> set di-severity { info | low | medium | high | critical } Para restablecer el ajuste original de nivel de gravedad de cada objeto de ataque, vuelva a introducir el contexto de una directiva y haga algo de lo siguiente:
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente procedimiento y haga clic en OK : > Deep Inspection: Seleccione Default en la lista desplegable Severity y haga clic en OK .
CLI
ns-> set policy id number ns(policy: number )-> unset di-severity
160
Ejemplo: Deep Inspection para P2P

En este ejemplo, permitir que cualquier host de la zona fiable inicie una sesin punto a punto (P2P) con cualquier host en la zona no fiable usando HTTP, DNS y servicios de Gnutella10. A continuacin aplica Deep Inspection (DI) al trfico permitido para comprobar las firmas completas y las anomalas de protocolo segn lo definido en los grupos siguientes de objetos de ataque: INFO:DNS:SIGS INFO:GNUTELLA:ANOM INFO:HTTP:SIGS
Si el dispositivo NetScreen detecta una firma o un comportamiento anmalo, interrumpe la conexin y enva un TCP RST al cliente para cerrar a la sesin. Tambin habilita el registro de cualquier ataque descubierto, que es el comportamiento predeterminado. Nota: Para obtener informacin sobre las diversas acciones de ataque que el dispositivo NetScreen puede realizar, consulte Acciones de ataque en la pgina 164. Para obtener informacin sobre los ataques detectados de registro, consulte Registro de ataques en la pgina 176.
WebUI
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: DNS > Haga clic en Multiple , seleccione GNUTELLA y HTTP y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit
10. Por razones de seguridad, no defina una directiva que permita a ningn host de la zona no fiable iniciar una sesin P2P con un host en la zona fiable.
161
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Severity: Default Group: INFO:DNS :SIGS Action: Close Client Log: (seleccione) Severity: Default Group: INFO:GNUTELLA :ANOM Action: Close Client Log: (seleccione) Severity: Default Group: INFO:HTTP :SIGS Action: Close Client Log: (seleccione)
CLI
set policy id 1 from trust to untrust any any dns permit attack 11 INFO:DNS:SIGS action close-client set policy id 1 ns(policy:1)-> set service gnutella ns(policy:1)-> set service http ns(policy:1)-> set attack INFO:GNUTELLA:ANOM action close-client ns(policy:1)-> set attack INFO:HTTP:SIGS action close-client ns(policy:1)-> exit save
11. Puesto que el registro de ataques detectados se habilita de forma predeterminada, no tiene que especificar el registro mediante comandos de la interfaz CLI.
162
Desactivacin de objetos de ataque

Cuando haga referencia a un grupo de objetos de ataque en una directiva, el dispositivo NetScreen comprobar el trfico al que resulta aplicable la directiva para patrones que coincidan con cualquiera de los objetos de ataque de ese grupo. En un determinado momento, quizs no le interese utilizar un objeto de ataque particular si produce continuamente falsos positivos; es decir, si interpreta errneamente el trfico legtimo como ataque. Si el problema proviene de un objeto de ataque personalizado, puede simplemente quitarlo de su grupo de objetos de ataque personalizado. Sin embargo, no puede quitar un objeto de ataque predefinido de un grupo predefinido de objetos de ataque. En ese caso, la mejor lnea de accin es desactivar el objeto. Observe que un objeto de ataque predefinido estar desactivado solamente dentro del sistema raz o del sistema virtual (vsys) en el que lo desactive. Por ejemplo, desactivando un objeto de ataque predefinido en el sistema raz no se desactiva automticamente en ningn sistema virtual. Asimismo, desactivar un objeto de ataque en un vsys no afecta a ese objeto en ningn otro vsys. Nota: Desactivar los objetos de ataque no mejora el rendimiento de procesamiento. Para desactivar un objeto de ataque, dispone de las siguientes opciones:
WebUI
Objects > Attacks > Predefined: Desactive la casilla de verificacin de la columna Configure en el objeto de ataque que desee desactivar.
CLI
set attack disable attack_object_name Para volver a activar un objeto de ataque previamente desactivado, haga una de las siguientes acciones:
WebUI
Objects > Attacks > Predefined: Active la casilla de verificacin en la columna Configure en el objeto de ataque que desee activar.
CLI
unset attack disable attack_object_name
Acciones de ataque
ACCIONES DE ATAQUE
Cuando el dispositivo NetScreen detecta un ataque, realiza la accin que especifique para el grupo de ataques que contenga el objeto que coincide con el ataque. Las siete acciones se describen a continuacin, desde la ms grave a la ms leve: 12 Close (interrumpe la conexin y enva RST al cliente y al servidor ) Utilice esta opcin para las conexiones TCP. El dispositivo NetScreen interrumpe la conexin y enva TCP RST al cliente (origen) y al servidor (destino). Debido a que la entrega de notificaciones RST no es fiable, enviando un RST al cliente y al servidor se aumentan las posibilidades de que al menos uno reciba el RST y cierre la sesin. Close Server (interrumpe la conexin y enva RST al servidor) Utilice esta opcin para conexiones TCP entrantes procedentes de un cliente no fiable y dirigidas a un servidor protegido. Si, por ejemplo, el cliente intenta realizar un ataque, el dispositivo NetScreen interrumpe la conexin y enva un TCP RST slo al servidor para que borre sus recursos mientras el cliente queda a la espera. Close Client (interrumpe la conexin y enva RST al cliente) Utilice esta opcin para conexiones TCP salientes desde un cliente protegido hacia un servidor no fiable. Si, por ejemplo, el servidor enva una cadena URL maliciosa, el dispositivo NetScreen interrumpe la conexin y enva un RST slo al cliente para que borre sus recursos mientras el servidor queda a la espera. Drop (interrumpe la conexin sin enviar RST a nadie) Utilice esta opcin para conexiones UDP u otras conexiones no TCP, como DNS. El dispositivo NetScreen descarta todos los paquetes en una sesin, pero no enva TCP RST. Drop Packet (descarta un paquete determinado pero no interrumpe la conexin) Esta opcin descarta el paquete en el que se detecta una firma de ataque o una anomala de protocolo, pero no termina la sesin propiamente dicha. Utilice esta opcin para descartar paquetes mal formados sin interrumpir la sesin entera. Por ejemplo, si el dispositivo NetScreen detecta una firma de ataque o anomala de protocolo procedente de un proxy de AOL, descartar todo interrumpira todos los servicios de AOL. En lugar de ello, al descartar nicamente el paquete, se detiene el paquete problemtico sin detener el flujo del resto de paquetes.
12. El cliente es siempre el iniciador de una sesin; es decir, la direccin de origen de una directiva. El servidor es siempre el destinatario, o la direccin de destino.
164
Acciones de ataque
Ignore (tras detectar una firma de ataque o una anomala, el dispositivo NetScreen efecta una entrada en el registro y deja de comprobar el resto de la conexin, o la ignora) Si el dispositivo NetScreen detecta una firma de ataque o anomala de protocolo, efecta una entrada en el registro de eventos pero no interrumpe la sesin en s. Utilice esta opcin para ajustar los falsos positivos durante la fase inicial de configuracin de su implementacin de Deep Inspection (DI). Utilice esta opcin tambin cuando un servicio utilice un nmero de puerto estndar para actividades de protocolo no estndar; por ejemplo, Yahoo Messenger utiliza el puerto 25 (puerto SMTP) para el trfico no SMTP. El dispositivo NetScreen registra la ocurrencia una vez por sesin (para no llenar el registro con falsos positivos), pero no lleva a cabo ninguna accin. None (ninguna accin) Resulta til para la identificacin inicial de tipos de ataques durante la fase inicial de configuracin de la implantacin de DI. Cuando el dispositivo NetScreen detecta una firma de ataque o anomala de protocolo, realiza una entrada en el registro de eventos pero no lleva a cabo ninguna accin sobre el trfico en s. El dispositivo NetScreen contina comprobando el trfico subsiguiente de esa sesin y realiza entradas en el registro si detecta otras firmas de ataque y anomalas. Puede crear una directiva que haga referencia a mltiples grupos de objetos de ataque, cada grupo con una accin diferente. Si el dispositivo NetScreen detecta simultneamente mltiples ataques que pertenezcan a grupos de objetos de ataque diferentes, aplicar la accin ms severa que haya especificado uno de esos grupos.
Ejemplo: Acciones de ataque Close Server, Close, Close Client

En este ejemplo hay tres zonas: Trust, Untrust y DMZ. Supongamos que ha terminado de analizar ataques y ha llegado a la conclusin de que necesita las tres directivas siguientes: ID de directiva 1: Permitir trfico HTTP, HTTPS, PING y FTP-GET procedente de cualquier direccin de la zona Untrust y dirigido a los servidores web (websrv1 y websrv2) de la zona DMZ. Ajuste de ataque para la directiva con ID 1: CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS HIGH:HTTP:ANOM, HIGH:HTTP:SIGS MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS CRITICAL:FTP:SIGS Accin para todos los grupos de objetos de ataque: Close Server Logging: Enabled (ajuste predeterminado)
Acciones de ataque
Decide interrumpir la conexin y enviar una notificacin TCP RST solamente a los servidores web protegidos para que puedan terminar sus sesiones y borrar sus recursos. Usted prev recibir ataques de la zona Untrust. Directiva con ID 2: Permitir trfico HTTP, HTTPS, PING y FTP procedente de cualquier direccin de la zona Trust y dirigido a los servidores web (websrv1 y websrv2) de la zona DMZ. Ajuste de ataque para la directiva con ID 2: CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS HIGH:HTTP:ANOM, HIGH:HTTP:SIGS MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS CRITICAL:FTP:SIGS Accin para todos los grupos de objetos de ataque: Close Registro: Activado (ajuste predeterminado) Decide interrumpir la conexin y enviar una notificacin TCP RST tanto a los clientes como a los servidores protegidos para que ambos puedan terminar sus sesiones y borrar sus recursos sin importar el nivel de gravedad del ataque. Directiva con ID 3: Permitir el trfico FTP-GET, HTTP, HTTPS, PING desde cualquier direccin de la zona Trust a cualquier direccin de la zona Untrust. Ajuste de ataque para la directiva con ID 3: CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS HIGH:HTTP:ANOM, HIGH:HTTP:SIGS MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS CRITICAL:FTP:SIGS Accin para todos los grupos de objetos de ataque: Close Client Logging: Enabled (ajuste predeterminado) Optar por interrumpir la conexin y enviar una notificacin TCP RST a los clientes protegidos para que ambos puedan terminar sus sesiones y borrar sus recursos. En este caso, se prev un ataque procedente de un servidor HTTP o FTP no fiable. Aunque las directivas permiten HTTP, HTTPS, Ping, FTP-Get o FTP, el dispositivo NetScreen activa Deep Inspection solamente para el trfico HTTP y FTP. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.
166
Acciones de ataque
Zona Untrust
DI (Untrust -> DMZ) HTTP:Crit, High, Med; FTP:Crit Action:Close-server
Zona DMZ DI (Trust -> Untrust) HTTP:Crit, High, Med; FTP:Crit; Action:Close-client ethernet1 10.1.1.1/24
websrv1 1.2.2.5/24
websrv2 1.2.2.6/24
Zona Trust
DI (Trust -> DMZ) HTTP:Crit, High, Med; FTP:Crit; Action:Close
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Service Options: Management Services: (seleccione todos) Other services: Ping
Acciones de ataque
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: websrv1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: DMZ Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: websrv2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.6/32 Zone: DMZ
3.
Ruta
168
Acciones de ataque
4.
ID de directiva 1
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), websrv1 > Haga clic en Multiple , seleccione websrv2 y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Service: HTTP > Haga clic en Multiple , seleccione FTP-GET , HTTPS , PING y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Server Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Server Log: (seleccione) Group: HIGH:HTTP:ANOM Action: Close Server Log: (seleccione)
169
Acciones de ataque
Group: HIGH:HTTP:SIGS Action: Close Server Log: (seleccione) Group: MEDIUM:HTTP:ANOM Action: Close Server Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Server Log: (seleccione) Group: CRITICAL:FTP :SIGS Action: Close Server Log: (seleccione)
5.
ID de directiva 2
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), websrv1 > Haga clic en Multiple , seleccione websrv2 y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Service: HTTP > Haga clic en Multiple , seleccione FTP-GET , HTTPS , PING y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit
170
Acciones de ataque
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Log: (seleccione) Group: HIGH:HTTP:ANOM Action: Close Log: (seleccione) Group: HIGH:HTTP:SIGS Action: Close Log: (seleccione) Group: MEDIUM:HTTP:ANOM Action: Close Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Log: (seleccione) Group: CRITICAL:FTP :SIGS Action: Close Log: (seleccione)
171
Acciones de ataque
6.
ID de directiva 3
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP > Haga clic en Multiple , seleccione FTP-GET , HTTPS , PING y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Client Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Client Log: (seleccione) Group: HIGH:HTTP :ANOM Action: Close Client Log: (seleccione) Group: HIGH:HTTP :SIGS Action: Close Client Log: (seleccione)
172
Acciones de ataque
Group: MEDIUM:HTTP:ANOM Action: Close Client Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Client Log: (seleccione) Group: CRITICAL:FTP :SIGS Action: Close Client Log: (seleccione)
173
Acciones de ataque
CLI
1. Interfaces
set set set set set set set interface interface interface interface interface interface interface ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 ethernet2 ethernet2 zone trust ip 10.1.1.1/24 manage zone untrust ip 1.1.1.1/24 zone dmz ip 2.1.1.1/24
2.
Direcciones
set address dmz websrv1 1.2.2.5/32 set address dmz websrv2 1.2.2.6/32
3. 4.
Ruta
ID de directiva 1
set policy id 1 from untrust to dmz any websrv1 http permit attack CRITICAL:HTTP:ANOM action close-server set policy id 1 ns(policy:1)-> set dst-address websrv2 ns(policy:1)-> set service ftp-get ns(policy:1)-> set service https ns(policy:1)-> set service ping ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server ns(policy:1)-> set attack HIGH:HTTP:ANOM action close-server ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server ns(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server ns(policy:1)-> set attack CRITICAL:FTP:SIGS action close-server ns(policy:1)-> exit
174
Acciones de ataque
5.
ID de directiva 2
set policy id 2 from trust to dmz any websrv1 http permit attack CRITICAL:HTTP:ANOM action close set policy id 2 ns(policy:2)-> set dst-address websrv2 ns(policy:2)-> set service ftp ns(policy:2)-> set service https ns(policy:2)-> set service ping ns(policy:2)-> set attack CRITICAL:HTTP:SIGS action close ns(policy:2)-> set attack HIGH:HTTP:ANOM action close ns(policy:2)-> set attack HIGH:HTTP:SIGS action close ns(policy:2)-> set attack MEDIUM:HTTP:ANOM action close ns(policy:2)-> set attack MEDIUM:HTTP:SIGS action close ns(policy:2)-> set attack CRITICAL:FTP:SIGS action close ns(policy:2)-> exit
6.
ID de directiva 3
set policy id 3 from trust to untrust any any http permit attack CRITICAL:HTTP:ANOM action close-client set policy id 3 ns(policy:3)-> set service ftp-get ns(policy:3)-> set service https ns(policy:3)-> set service ping ns(policy:3)-> set attack CRITICAL:HTTP:SIGS action close-client ns(policy:3)-> set attack HIGH:HTTP:ANOM action close-client ns(policy:3)-> set attack HIGH:HTTP:SIGS action close-client ns(policy:3)-> set attack MEDIUM:HTTP:ANOM action close-client ns(policy:3)-> set attack MEDIUM:HTTP:SIGS action close-client ns(policy:3)-> set attack CRITICAL:FTP:SIGS action close-client ns(policy:3)-> exit save
175
Registro de ataques
REGISTRO DE ATAQUES
Puede habilitar el registro de ataques detectados por grupo de ataque y por directiva. Es decir, dentro de la misma directiva, puede aplicar mltiples grupos de ataque y habilitar selectivamente el registro de los ataques detectados slo para algunos de ellos. De forma predeterminada, el registro est activado. Puede que desee desactivar el registro de los ataques que tengan menos prioridad para usted y a los que no presta mucha atencin. De todos modos, desactivando el registro de esos ataques, ayuda a evitar que el registro de eventos se llene de entradas que no tiene pensado mirar.
Ejemplo: Desactivar el registro por grupo de ataques

En este ejemplo, hace referencia a los cinco grupos siguientes de ataques en una directiva y habilita el registro solamente para los dos primeros: HIGH:IMAP:ANOM HIGH:IMAP:SIGS MEDIUM:IMAP:ANOM LOW:IMAP:ANOM INFO:IMAP:ANOM La directiva se aplica al trfico IMAP desde todos los hosts de la zona fiable a un servidor de correo llamado mail1 en el DMZ. Si alguno de los objetos de ataque IMAP predefinidos de los cinco grupos anteriores coincide con un ataque, el dispositivo NetScreen cierra la conexin. Sin embargo, crea solamente las entradas de registro para los ataques detectados que coincidan con objetos de ataque en los primeros dos grupos.
WebUI
1. Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: mail1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.10/32 Zone: DMZ
Registro de ataques
2.
Directiva
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), mail1 Service: IMAP Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: HIGH:IMAP:ANOM Action: Close Log: (seleccione) Group: HIGH:IMAP:SIGS Action: Close Log: (seleccione) Group: MEDIUM:IMAP:ANOM Action: Close Log: (anule la seleccin) Group: LOW:IMAP:ANOM Action: Close Log: (anule la seleccin) Group: INFO:IMAP:ANOM Action: Close Log: (anule la seleccin)
177
Registro de ataques
CLI
1. 2. Direccin
set address dmz mail1 1.2.2.10/32
Directiva
ns-> set policy id 1 from trust to dmz any mail1 imap permit attack HIGH:IMAP:ANOM action close ns-> set policy id 1 ns(policy:1)-> set attack HIGH:IMAP:SIGS action close ns(policy:1)-> set attack MEDIUM:IMAP:ANOM action close ns(policy:1)-> unset attack MEDIUM:IMAP:ANOM logging ns(policy:1)-> set attack LOW:IMAP:ANOM action close ns(policy:1)-> unset attack LOW:IMAP:ANOM logging ns(policy:1)-> set attack INFO:IMAP:ANOM action close ns(policy:1)-> unset attack INFO:IMAP:ANOM logging ns(policy:1)-> exit ns-> save
178
Asignacin de servicios personalizados a aplicaciones
ASIGNACIN DE SERVICIOS PERSONALIZADOS A APLICACIONES

Cuando utilice un servicio personalizado en una directiva con un componente de Deep Inspection (DI), deber especificar explcitamente qu aplicacin se est ejecutando sobre ese servicio para que el mdulo DI pueda funcionar correctamente. Por ejemplo, si crea un servicio personalizado de FTP para que se ejecute en un nmero de puerto no estndar como el 2121, puede hacer referencia a ese servicio personalizado en una directiva de la siguiente forma: set service ftp-custom protocol tcp src-port 0-65535 dst-port 2121-2121 set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit Sin embargo, si incluye un componente de DI en una directiva que haga referencia al servicio personalizado, el mdulo de DI no podr reconocer la aplicacin, porque se utiliza un nmero de puerto no estndar. set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit attack CRITICAL:FTP:SIGS action close-server
El cortafuegos de NetScreen permite trfico custom-ftp en el puerto 2121. Zona Untrust Internet custom-ftp (puerto 2121) FTP (puerto 21) ftp-srv1 Zona Trust
Sin embargo, el mdulo DI comprueba si hay ataques CRITICAL:FTP en el puerto 21, que no est siendo utilizado.
Para evitar este problema, es necesario informar al mdulo DI de que la aplicacin FTP se est ejecutando en el puerto 2121. Esencialmente, consiste en asignar el protocolo de la capa de aplicacin (Application Layer) a un nmero de puerto especfico en la capa de transporte (Transport Layer). Esta asociacin se puede realizar a nivel de directivas: set policy id 1 application ftp
179
Cuando se asigna la aplicacin FTP al servicio personalizado custom-ftp y se configura DI para que examine el trfico FTP en busca de los ataques definidos en el grupo de objetos de ataque CRITICAL:FTP:SIGS en una directiva que haga referencia a custom-ftp, el mdulo DI realiza su inspeccin en el puerto 2121. set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit attack CRITICAL:FTP:SIGS action close-server set policy id 1 application ftp
El cortafuegos de NetScreen permite trfico custom-ftp en el puerto 2121. Zona Untrust Internet custom-ftp (puerto 2121) El mdulo DI comprueba si hay ataques CRITICAL:FTP:SIGS en el puerto 2121. Zona Trust
ftp-srv1
Ejemplo: Asignar una aplicacin a un servicio personalizado

En este ejemplo definir un servicio personalizado llamado HTTP1 que utilizar el puerto de destino 8080. Asignar la aplicacin HTTP al servicio personalizado para una directiva que permita el trfico HTTP1 desde cualquier direccin de la zona Untrust a un servidor web llamado server1 en la zona DMZ. A continuacin aplica Deep Inspection al trfico de HTTP permitido que se ejecuta en el puerto 8080. Los ajustes del Deep Inspection para esta directiva son los siguientes: Grupos de objetos de ataque: CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS HIGH:HTTP:ANOM, HIGH:HTTP:SIGS MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS Accin para todos los grupos de objetos de ataque: Close Server Logging: Enabled (ajuste predeterminado)
180
WebUI
1. Servicio personalizado
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK : Service Name: HTTP1 Transport Protocol: TCP (seleccione) Source Port Low: 0 Source Port High: 65535 Destination Port Low: 8080 Destination Port High: 8080
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: server1 IP Address/Domain Name: IP/Netmask: 1.2.2.5/32 Zone: DMZ
3.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), server1 Service: HTTP1 Application: HTTP Action: Permit
181
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP :ANOM Action: Close Server Log: (seleccione) Group: CRITICAL:HTTP :SIGS Action: Close Client Log: (seleccione) Group: HIGH:HTTP:ANOM Action: Close Client Log: (seleccione) Group: HIGH:HTTP:SIGS Action: Close Client Log: (seleccione) Group: MEDIUM:HTTP:ANOM Action: Close Client Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Client Log: (seleccione)
182
CLI
1. 2. 3. Servicio personalizado
set service HTTP1 protocol tcp src-port 0-65535 dst-port 8080-8080
Direccin
set address dmz server1 1.2.2.5/32
Directiva
ns-> set policy id 1 from untrust to dmz any server1 HTTP1 permit attack CRITICAL:HTTP:ANOM action close-server ns-> set policy id 1 ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server ns(policy:1)-> set attack HIGH:HTTP:ANOM action close-server ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server ns(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server ns(policy:1)-> exit ns-> set policy id 1 application http save
183
Ejemplo: Asignacin de aplicacin a servicio para ataques de HTTP

Algunos ataques de HTTP conocidos utilizan el puerto 8000 TCP. En el momento de redactar este documento, hay dos ataques en la base de datos de objetos de ataque de Deep Inspection (DI): 3656, App: HP Web JetAdmin Framework Infoleak DOS:NETDEV:WEBJET-FW-INFOLEAK (en el grupo de objetos de ataque MEDIUM:HTTP:SIGS) 3638, App: HP Web JetAdmin WriteToFile Vulnerability, DOS:NETDEV:WEBJET-WRITETOFILE (en el grupo de objetos de ataque CRITICAL:HTTP:SIGS) Sin embargo, de forma predeterminada, ScreenOS solamente considera que es HTTP el trfico TCP en el puerto 80. Por lo tanto, si el dispositivo NetScreen recibe trfico TCP usando el puerto 8000, no lo reconocer como HTTP. Por lo tanto, el motor DI no explorar ese trfico HTTP para buscar estos ataques y no podr detectarlos si se producen, a menos que asigne HTTP como aplicacin a un servicio personalizado usando el puerto 8000. En este ejemplo, asociar el trfico usando el puerto no estndar de 8000 con HTTP para detectar los ataques anteriores. Nota: Generalmente, si est ejecutando algunos servicios usando los nmeros de puerto no estndar en su red y desea que el motor de DI explore ese trfico, deber asociar el nmero de puerto no estndar al servicio.
WebUI
1. Servicio personalizado
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK : Service Name: HTTP2 Transport Protocol: TCP (seleccione) Source Port Low: 0 Source Port High: 65535 Destination Port Low: 8000 Destination Port High: 8000
184
2.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP2 Application: HTTP Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CRITICAL:HTTP:SIGS Action: Close Log: (seleccione) Group: MEDIUM:HTTP:SIGS Action: Close Log: (seleccione)
185
CLI
1. 2. Servicio personalizado
set service HTTP2 protocol tcp src-port 0-65535 dst-port 8000-8000
Directiva
ns-> set policy id 1 from untrust to dmz any any HTTP2 permit attack CRITICAL:HTTP:SIGS action close ns-> set policy id 1 ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close ns(policy:1)-> exit ns-> set policy id 1 application http save
186
Objetos de ataque y grupos personalizados
OBJETOS DE ATAQUE Y GRUPOS PERSONALIZADOS

Usted puede definir nuevos objetos de ataque y grupos de objetos para personalizar la aplicacin Deep Inspection (DI) con el fin de resolver lo mejor posible sus necesidades. Los objetos de ataque definidos por el usuario pueden ser firmas completas o -en el dispositivo NetScreen-5000- firmas de secuencias TCP. Puede ajustar tambin varios parmetros para modificar objetos de ataques predefinidos de anomalas de protocolos.
Objetos de ataque de firma completa definidos por el usuario

Se puede crear un objeto de ataque de firma completa para FTP, HTTP y SMTP. Para crear un objeto de ataque, realice los pasos siguientes: Asigne un nombre el objeto de ataque. (Todos los objetos de ataque definidos por el usuario deben comenzar con CS:). Establezca el contexto para la bsqueda de Deep Inspection. (Para obtener una lista completa de todos los contextos que puede utilizar al crear objetos de ataques, consulte el Apndice A, Contextos para firmas definidas por el usuario). Defina la firma. (La seccin siguiente, Expresiones regulares en la pgina 188, examina las expresiones regulares que puede utilizar al definir las firmas). Asigne un nivel de gravedad al objeto de ataque. (Para obtener informacin sobre niveles de gravedad, consulte Cambio de los niveles de gravedad en la pgina 159).
A continuacin deber colocar un objeto de ataque definido por el usuario en un grupo de objetos de ataque definido por el usuario para su utilizacin en directivas. Nota: Un grupo de objetos de ataque definido por el usuario slo puede contener objetos de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos de ataque predefinidos y definidos por el usuario.
187
Expresiones regulares
Para introducir el texto de una firma, puede escribir una cadena alfanumrica de caracteres normales para buscar coincidencias exactas carcter por carcter, o puede utilizar expresiones regulares para ampliar las posibles coincidencias de la bsqueda a conjuntos de caracteres. ScreenOS reconoce las siguientes expresiones regulares:
Finalidad Coincidencia binaria * directa (octal) Metacaracteres \O octal_number Ejemplo \0162 Coincide con: 162 \X hexadecimal_number \X \X01 A5 00 00\X Coincide con: 01 A5 00 00 \[cat\] Coincide con: Cat, cAt, caT CAt, CaT, CAT cat, cAt c.t Coincide con: cat, cbt, cct, czt cAt, cBt, cCt, cZt c1t, c2t, c3t, c9t Significado Coincidir exactamente con este nmero octal: 162.
Coincidencia binaria directa (hexadecimal)
Buscar las coincidencias exactas con estos cinco nmeros hexadecimales: 01 A5 00 00. Buscar los caracteres contenidos en cat sin importar si estn en letras maysculas o minsculas.
Coincidencias sin distinguir \[ characters \] maysculas de minsculas
Coincidencia con cualquier . carcter
Buscar c-cualquier carcter-t.
188
Finalidad
Metacaracteres
Ejemplo a*b+c Coincide con: bc bbc abc aaabbbbc a+b+c Coincide con: abc aabc aaabbbbc
Significado Buscar 0, 1 o ms ocurrencias de a, seguidas por 1 o ms ocurrencias de b y seguidas por una ocurrencia de c.
Buscar el carcter anterior * 0 o ms veces, en lugar de slo una vez seguida.
Buscar 1 o ms ocurrencias del carcter anterior.
Buscar 1 o ms ocurrencias de a, seguidas por 1 o ms ocurrencias de b y por una ocurrencia de c.
Busca el carcter anterior 0 veces o 1 vez.
drop-?packet Coincide con: drop-packet droppacket
Buscar drop-packet o droppacket.
Expresiones de grupos
() (drop | packet) Coincide con: drop packet Buscar drop o packet.
El carcter anterior o el | siguiente. Se suele utilizar con ( )
189
Finalidad Rango de caracteres
Metacaracteres [ start - end ]
Ejemplo [ c - f ] a (d | t) Coincide con: cad, cat dad, dat ead, eat fad, fat
Significado Buscar todo lo que comience con c, d, e o f, tenga la letra central a y la ltima letra d o t.
Negacin del carcter siguiente.
[^characters ]
[ ^0 - 9A-Z ] Coincide con: a, b, c, d, e, z
Buscar letras minsculas.
Octal es el sistema numrico en base 8 que utiliza solamente los dgitos 0-7. Hexadecimal es un sistema numrico en base 16 que utiliza los dgitos 09 habituales ms las letras AF, que representan dgitos hexadecimales equivalentes a los valores decimales 1015.
190
Ejemplo: Objetos de ataque de firma completa definidos por el usuario

En este ejemplo tendr un servidor FTP, un servidor web y un servidor de correo en la zona DMZ. Definir los siguientes objetos de ataque para los usos siguientes:
Nombre del objeto de ataque cs:ftp-stor cs:ftp-user-dm cs:url-index cs:spammer Puede utilizarlo para impedir que alguien pueda colocar archivos en su servidor FTP. denegar el acceso FTP al usuario con el nombre de inicio de sesin dmartin. bloquear los paquetes HTTP con una URL definida en cualquier peticin HTTP. bloquear el correo electrnico procedente de cualquier cuenta del dominio spam.com.
A continuacin los organizar en un grupo de objetos de ataque definido por el usuario llamado DMZ DI, al que har referencia en una directiva que permita el trfico de la zona Untrust a los servidores en la zona DMZ.
WebUI
1. Objeto de ataque 1: ftp-stor
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: cs:ftp-stor Attack Context: FTP Command Attack Severity: Medium Attack Pattern: STOR
2.
Objeto de ataque 2: ftp-user-dm

Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: cs:ftp-user-dm Attack Context: FTP User Name Attack Severity: Low Attack Pattern: dmartin
191
3.
Objeto de ataque 3: url-index

Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: cs:url-index Attack Context: HTTP URL Parsed Attack Severity: High Attack Pattern: .*index.html.*
4.
Objeto de ataque 4: spammer

Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: cs:spammer Attack Context: SMTP From Attack Severity: Info Attack Pattern: .*@spam.com
5.
Grupo de objetos de ataque

Objects > Attacks > Custom Groups > New: Introduzca el siguiente nombre de grupo, mueva los siguientes objetos de ataque personalizados y haga clic en OK : Group Name: CS:DMZ DI Seleccione cs:ftp-stor y utilice el botn << para mover la direccin de la columna Available Members a la columna Selected Members. Seleccione cs:ftp-user-dm y utilice el botn << para mover la direccin de la columna Available Members a la columna Selected Members. Seleccione cs:url-index y utilice el botn << para mover la direccin de la columna Available Members a la columna Selected Members. Seleccione cs:spammer y utilice el botn << para mover la direccin de la columna Available Members a la columna Selected Members.
192
6.
Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP > Haga clic en Multiple , seleccione FTP y haga clic en OK para regresar a la pgina de configuracin bsica de directivas. Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:DMZ DI Action: Close Server Log: (seleccione)
193
CLI
1. 2. 3. 4. 5. Objeto de ataque 1: ftp-stor
set attack cs:ftp-stor ftp-command STOR severity medium
Objeto de ataque 2: ftp-user-dm

set attack cs:ftp-user-dm ftp-username dmartin severity low
Objeto de ataque 3: url-index

set attack cs:url-index http-url-parsed index.html severity high
Objeto de ataque 4: spammer

set attack cs:spammer smtp-from .*@spam.com severity info

set set set set set attack attack attack attack attack group group group group group CS:DMZ CS:DMZ CS:DMZ CS:DMZ CS:DMZ DI DI DI DI DI add add add add cs:ftp-stor cs:ftp-user-dm cs:url-index cs:spammer
6.
Directiva
set policy id 1 from untrust to dmz any any http permit attack CS:DMZ DI action close-server set policy id 1 ns(policy:1)-> set service ftp ns(policy:1)-> exit save
194
Objetos de ataque de la firma de la secuencia TCP

Las firmas completas dependen de los contextos de aplicaciones especficas, como un nombre de usuario de FTP o un campo de encabezado de SMTP. Las firmas de la secuencia TCP buscan patrones en cualquier lugar y en cualquier tipo de trfico TCP sin importar el protocolo de aplicacin utilizado. Nota: Las firmas de secuencias TCP slo se pueden definir en sistemas de la serie NetScreen-5000. Dado que no hay objetos de ataque de firma de la secuencia TCP predefinidos, es necesario definirlos. Al crear un objeto de ataque de firma, defina los siguientes componentes: Nombre del objeto de ataque (Todos los objetos de ataque definidos por el usuario deben comenzar con CS:) Tipo de objeto (secuencia o stream) Definicin de patrn Nivel de gravedad
Ejemplo de un objeto de ataque de firma de secuencia TCP
Nombre
Tipo
Definicin
Nivel de gravedad
195
Ejemplo: Objeto de ataque de firma de secuencia definido por el usuario

En este ejemplo definir el objeto de firma de secuencia .*satori.*. Definir su nombre como CS:A1 y su nivel de gravedad como crtico. Debido a que una directiva puede hacer referencia solamente a grupos de objetos de ataque, crear un grupo llamado CS:Gr1 y luego le agregar este objeto. Finalmente, definir una directiva que haga referencia a CS:Gr1 y que ordene al dispositivo NetScreen interrumpir la conexin y enviar TCP RST al cliente si el patrn aparece en algn trfico al que sea aplicable la directiva.
WebUI
1. Objeto de ataque de firma de secuencia
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: CS:A1 Attack Context: Stream Attack Severity: Critical Attack Pattern: .*satori.*
2.
Grupo de objetos de ataque de firma de secuencia

Objects > Attacks > Custom Groups > New: Introduzca los siguientes datos y haga clic en OK : Group Name: CS:Gr1 Seleccione CS:A1 en la columna Available Members y haga clic en << para moverlo a la columna Selected Members.
196
3.
Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:Gr1 Action: Close Client Log: (seleccione)
CLI
1. 2. Objeto de ataque de firma de secuencia
set attack CS:A1 stream .*satori.* severity critical
Grupo de ataques de firma de secuencia

set attack group CS:Gr1 set attack group CS:Gr1 add CS:A1
3.
Directiva
set policy from trust to untrust any any any permit attack CS:Gr1 action close-client save
197
Parmetros configurables de anomalas de protocolos

Puede modificar ciertos parmetros de un objeto de ataque de anomala de protocolo. Aunque Juniper define objetos de ataque de anomala de protocolo para buscar las desviaciones de los estndares de protocolo definidos en las extensiones de RFCs y RFC comunes, no todas las implementaciones cumplen estos estndares. Si encuentra que la aplicacin de un determinado objeto de ataque de anomala de protocolo est produciendo numerosos positivos falsos, puede modificar sus parmetros para que se ajuste mejor al uso aceptado de ese protocolo en su red. Nota: Para obtener una lista completa de todos los parmetros configurables, consulte el comando di en el NetScreen CLI Reference Guide.
Ejemplo: Modificacin de parmetros

En este ejemplo, establece valores ms altos en los parmetros siguientes para reducir el nmero de positivos falsos que se produjeron con los ajustes predeterminados:
Parmetro de protocolo SMB Nmero mximo de errores de inicio de sesin por minuto Gnutella Nmero mximo de saltos time-to-live (TTL) Predeterminado Nuevo 4 errores 8 saltos 8 errores 10 saltos
Para los parmetros siguientes, establezca valores ms bajos para detectar el comportamiento anmalo que el dispositivo NetScreen no detect con los ajustes predeterminados:
Parmetro de protocolo AOL Instant Messenger (AIM) Longitud mxima del nombre de archivo OFT (transferencia de archivos OSCAR) OSCAR = Sistema abierto para la comunicacin en tiempo real, el protocolo que utilizan los clientes AIM. Predeterminado Nuevo 10.000 bytes 5.000 bytes
198
Parmetro de protocolo AOL Instant Messenger Longitud mxima de un marco FLAP (encabezado FLAP, que es siempre 6 bytes, ms datos) OSCAR usa el protocolo FLAP para establecer conexiones y abrir canales entre los clientes AIM.
Predeterminado Nuevo 10.000 bytes 5.000 bytes
WebUI
Nota: Debe utilizar el CLI para modificar los parmetros de anomala de protocolo.
CLI
set di set di set di set di save service service service service smb failed_logins 8 gnutella max_ttl_hops 10 aim max_flap_length 5000 aim max_oft_frame 5000
199
Negacin
NEGACIN
Normalmente, se utilizan objetos de ataque para buscar patrones que sean indicativos de una actividad malvola o anmala. Sin embargo, tambin puede utilizarlos para buscar patrones indicativos de una actividad benigna o legtima. Con este mtodo, solamente es sospechoso el tipo de trfico que no coincide con un patrn determinado. Para utilizar objetos de ataques de esta manera, ha de aplicar el concepto de negacin. Una aplicacin til de la negacin del objeto de ataque sera bloquear todos los intentos de inicio de sesin con excepcin de los que tengan el nombre de usuario y la contrasea correctos. Sera difcil definir todos los nombres de usuario y contraseas no vlidos, pero es muy fcil definir los correctos y a continuacin aplicar la negacin para invertir lo que el dispositivo NetScreen considere un ataque; es decir, todo excepto el objeto de ataque especificado.
Ejemplo: Negacin del objeto de ataque

En este ejemplo definiremos dos objetos de ataque: uno que especifique el nombre de usuario correcto requerido para iniciar una sesin en un servidor FTP y otro con la contrasea correcta. Luego le aplica la negacin a ambos objetos de ataques, de modo que el dispositivo NetScreen bloquee cualquier intento de inicio de sesin en ese servidor que utilice cualquier otro nombre de usuario o contrasea diferentes a las definidas en los objetos de ataque. El ejemplo utiliza los ajustes siguientes: El nombre de usuario y la contrasea correctos son admin1 y pass1 . El servidor FTP est en 1.2.2.5 en la zona DMZ. Su nombre de direccin es ftp1 . Aplica el Deep Inspection en el trfico de FTP al servidor desde todos los hosts en las zonas Untrust y Trust. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr. Crer los dos objetos de ataques siguientes: Objeto de ataque 1: Name: CS:FTP1_USR_OK Negation: enabled Context: ftp-username Pattern: admin1 Severity: high
200
Negacin
Objeto de ataque 2: Name: CS:FTP1_PASS_OK Negation: enabled Context: ftp-password Pattern: pass1 Severity: high A continuacin pondr ambos objetos en un grupo de objetos de ataque llamado CS:FTP1_LOGIN y har referencia a ese grupo de objetos de ataque en dos directivas que permiten el trfico FTP desde las zonas Trust y Untrust a ftp1 en la zona DMZ.
Nota: Para mayor claridad, no se muestra el enrutador externo de la zona Untrust. Su direccin es 1.1.1.250. Intento de inicio de sesin: Nombre de usuario: admin1 Contrasea: pass1 ethernet2 1.2.2.1/24
Untrust Intento de inicio de sesin: Nombre de usuario: 123456 Contrasea: 123456 Internet
DMZ
ethernet1 10.1.1.1/24
LAN
servidor FTP ftp1 1.2.2.5
Intento de inicio de sesin: Nombre de usuario: anon Contrasea: logos
LAN Trust
Intento de inicio de sesin: Nombre de usuario: admin1 Contrasea: pass1
201
Negacin
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT (seleccione)13 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
13. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
202
Negacin
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ftp1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: DMZ
3.
Objeto de ataque 1: CS:FTP1_USR_OK

Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: CS:FTP1_USR_OK Attack Context: ftp-username Attack Severity: High Attack Pattern: admin1 Pattern Negation: (seleccione)
4.
Objeto de ataque 2: CS:FTP1_PASS_OK

Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga clic en OK : Attack Name: CS:FTP1_PASS_OK Attack Context: ftp-password Attack Severity: High Attack Pattern: pass1 Pattern Negation: (seleccione)
203
Negacin
5.

Objects > Attacks > Custom Groups > New: Introduzca el siguiente nombre de grupo, mueva los siguientes objetos de ataque personalizados y haga clic en OK : Group Name: CS:FTP1_LOGIN Seleccione CS:FTP1_USR_OK y utilice el botn << para mover la direccin de la columna Available Members a la columna Selected Members. Seleccione CS:FTP1_PASS_OK y utilice el botn << para mover la direccin desde la columna Available Members a la columna Selected Members.
6.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 1.1.1.250
7.
Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP Action: Permit
204
Negacin
> Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:FTP1_LOGIN Action: Drop Log: (seleccione) Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP Action: Permit > Haga clic en Deep Inspection , introduzca lo siguiente y haga clic en Add para introducir cada grupo de objetos de ataque y, a continuacin, haga clic en OK para regresar a la pgina de configuracin bsica de directivas: Group: CS:FTP1_LOGIN Action: Drop Log: (seleccione)
205
Negacin
CLI
1. Interfaces
2. 3.
Direccin
set address dmz ftp1 1.2.2.5/32
Objetos de ataque
set set set set set attack attack attack attack attack CS:FTP1_USR_OK ftp-username not admin1 severity high CS:FTP1_PASS_OK ftp-password not pass1 severity high group CS:FTP1_LOGIN group CS:FTP1_LOGIN add CS:FTP1_USR_OK group CS:FTP1_LOGIN add CS:FTP1_PASS_OK
4. 5.
Ruta
Directivas
set policy from untrust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action drop set policy from trust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action drop save
206
Bloqueo granular de los componentes de HTTP
BLOQUEO GRANULAR DE LOS COMPONENTES DE HTTP

Un dispositivo NetScreen puede bloquear selectivamente controles de ActiveX, applets de Java, archivos .zip y archivos .exe enviados a travs de HTTP. El peligro que estos componentes plantean a la seguridad de una red es que proporcionan a los interlocutores no fiables un medio para cargar y luego controlar una aplicacin en los hosts de una red protegida. Cuando se habilita el bloqueo de uno o ms de estos componentes en una zona de seguridad, el dispositivo NetScreen examina cada encabezado HTTP que llegue a una interfaz asociada a esa zona. Comprueba si el tipo de contenido detallado en el encabezado indica que cualquiera de los componentes de destino se encuentra en la carga del paquete. Si el tipo de contenido es Java, .exe o .zip y el dispositivo NetScreen est configurado para bloquear esos tipos de componentes HTTP, el dispositivo NetScreen bloquea el paquete. Si el tipo de contenido slo detalla octet stream en lugar de un tipo especfico de componente, el dispositivo NetScreen examina el tipo de archivo en la carga. Si el tipo de archivo es Java, .exe, o .zip y el dispositivo NetScreen est configurado para bloquear esos tipos de componentes, el dispositivo NetScreen bloquea el paquete. Cuando se habilita el bloqueo de los controles de ActiveX, el dispositivo NetScreen bloquea todos los paquetes HTTP que contienen cualquier tipo de componente HTTP en sus controles (controles ActiveX, applets de Java, archivos .exe o archivos .zip). Nota: Cuando el bloqueo de ActiveX est habilitado, el dispositivo NetScreen bloquea los applets de Java, archivos .exe y archivos .zip tanto si estn contenidos en un control de ActiveX como si no.
Controles ActiveX
La tecnologa ActiveX de Microsoft permite a los diseadores web crear pginas web dinmicas e interactivas. Los controles ActiveX son componentes que permiten a diversos programas interactuar entre s. Por ejemplo, ActiveX permite a su explorador web abrir una hoja de clculo o mostrar su cuenta personal desde una base de datos backend. Los componentes de ActiveX tambin pueden contener otros componentes tales como applets de Java, o archivos como .exe y .zip.
207
Cuando se visita un sitio web con ActiveX habilitado, el sitio pide descargar los controles de ActiveX al equipo. Microsoft proporciona un mensaje emergente que muestra el nombre de la empresa o del programador que autentic el cdigo ActiveX que se ofrece para su descarga. Si confia en la procedencia del cdigo, puede iniciar la descarga de los controles. Si no confa en el origen, puede rechazarlos. Si descarga un control ActiveX a su equipo, ste podr hacer con l lo que su creador haya previsto. Si es cdigo malvolo, podr volver a formatear su disco duro, eliminar todos sus archivos, enviar todo su correo electrnico personal a su jefe, etctera.
Applets de Java
Con una finalidad parecida a ActiveX, los applets de Java tambin aumentan la funcionalidad de las pginas web al permitirles interactuar con otros programas. Los applets de Java se descargan a una mquina virtual de Java (VM) en su equipo. En la versin inicial de Java, la mquina virtual no permita que los applets interactuaran con otros recursos de su equipo. A partir de Java 1.1, se relajaron algunas de estas restricciones para proporcionar mayor funcionalidad. Consecuentemente, los applets de Java ahora pueden acceder a recursos locales fuera de la VM. Debido a que un atacante puede programar los applets de Java para funcionar fuera de la VM, plantean la misma amenaza a la seguridad que los controles de ActiveX.
Archivos EXE
En los archivos ejecutables (archivos con la extensin .exe) descargados de Internet, no existe garanta de que puedan ejecutarse sin riesgo. Aunque el sitio de descarga sea de confianza, un usuario malintencionado podra estar rastreando las peticiones de descarga de ese sitio, interceptar su peticin y responder con un archivo .exe manipulado con cdigo daino.
Archivos ZIP
Un archivo ZIP (es decir, un archivo con la extensin .zip) es un tipo de archivo que contiene unos o ms archivos comprimidos. El peligro de descargar un archivo .exe como el presentado en la seccin anterior que trata sobre archivos .exe tambin puede aplicarse a los archivos .zip, ya que stos pueden contener archivos .exe.
208
Ejemplo: Bloquear applets de Java y archivos .exe

En este ejemplo bloquear todo el trfico HTTP que contenga applets de Java y archivos .exe en los paquetes que lleguen a una interfaz de la zona Untrust.
WebUI
Screening > Screen (Zone: Untrust): Seleccione Block Java Component y Block EXE Component y haga clic en Apply .
CLI
set zone untrust screen java set zone untrust screen exe save
209
210
Captulo 6
Atributos de los paquetes sospechosos
Segn se indica en otros captulos de este volumen, un atacante puede manipular los paquetes para que realicen tareas de reconocimiento o ataques de denegacin de servicios (Denial of Service o DoS). A veces resulta difcil determinar la intencin de un paquete manipulado, pero el mismo hecho de que est manipulado induce a sospechar que se est incluyendo con algn fin insidioso. Todas las opciones SCREEN presentadas en este captulo bloquean los paquetes sospechosos que pueden contener amenazas ocultas: Fragmentos ICMP en la pgina 212 Paquetes ICMP grandes en la pgina 214 Opciones IP incorrectas en la pgina 216 Protocolos desconocidos en la pgina 218 Fragmentos de paquetes IP en la pgina 220 Fragmentos SYN en la pgina 222
211
Captulo 6 Atributos de los paquetes sospechosos
Fragmentos ICMP
FRAGMENTOS ICMP
El protocolo de mensajes de control de Internet (Internet Control Message Protocol o ICMP) ofrece posibilidades de comunicacin de errores y de sondeo de redes. Dado que los paquetes ICMP contienen mensajes muy cortos, no existe ningn motivo legtimo para que los paquetes ICMP resulten fragmentados. Cuando un paquete ICMP es tan grande que necesita fragmentarse, hay algn problema. Si habilita la opcin SCREEN ICMP Fragment Protection, el dispositivo NetScreen bloquea cualquier paquete ICMP que tenga el flag More Fragments activado o que contenga algn valor en el campo de desplazamiento (offset).
Si el tipo de protocolo es 1 para ICMP y el flag More Fragments o hay un valor distinto de cero en est activado el campo de desplazamiento del fragmento Tamao total del paquete (en bytes) Desplazamiento del fragmento
Encabezado IP
Versin
Tamao del encabezado
Tipo de servicio 0 D M
Identificacin Tiempo de vida (Time to Live o TTL) Protocolo (ICMP = 1)
Suma de comprobacin del encabezado
Direccin de origen Direccin de destino Opciones Encabezado ICMP (carga del paquete IP) Tipo Identificador Datos el dispositivo NetScreen bloquea el paquete. Cdigo Suma de comprobacin Nmero correlativo
212
Fragmentos ICMP
Para bloquear los paquetes ICMP fragmentados, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originaron los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMP Fragment Protection y haga clic en Apply .
CLI
set zone zone screen icmp-fragment
213
Paquetes ICMP grandes
PAQUETES ICMP GRANDES

Segn lo indicado en la seccin anterior Fragmentos ICMP en la pgina 212, el protocolo de mensajes de control de Internet (Internet Control Message Protocol o ICMP) ofrece posibilidades de comunicacin de errores y sondeo de redes. Dado que los paquetes ICMP contienen mensajes muy cortos, no existe ningn motivo legtimo para que se generen paquetes ICMP de gran tamao. Si un paquete ICMP es extraordinariamente grande, hay algn problema. Por ejemplo, el programa Loki utiliza ICMP como canal para transmitir mensajes secretos. La presencia de paquetes ICMP grandes podra dejar al descubierto a un equipo que est actuando como agente de Loki. Tambin podra indicar algn otro tipo de actividad ilegtima.
Cuando el tipo de protocolo es 1 para ICMP Tamao del encabezado y este valor es > 1024,
Encabezado IP
Versin
Tipo de servicio 0 D M
Tamao total del paquete (en bytes) Desplazamiento del fragmento Suma de comprobacin del encabezado
Identificacin Tiempo de vida (Time to Live o TTL) Protocolo (ICMP = 1)
Direccin de origen Direccin de destino Opciones Encabezado ICMP (carga de paquete IP) Tipo Identificador Datos el dispositivo NetScreen bloquea el paquete. Cdigo Suma de comprobacin Nmero correlativo
214
Paquetes ICMP grandes
Cuando se habilita la opcin SCREEN Large Size ICMP Packet Protection, el dispositivo NetScreen descarta los paquetes ICMP con un tamao superior a 1024 bytes. Para bloquear los paquetes ICMP de gran tamao, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originaron los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Large Size ICMP Packet (Size > 1024) Protection y haga clic en Apply .
CLI
set zone zone screen icmp-large
215
Opciones IP incorrectas
OPCIONES IP INCORRECTAS
La norma del protocolo de Internet RFC 791, Internet Protocol especifica un conjunto de ocho opciones que ofrecen controles de enrutamiento especiales, herramientas de diagnstico y medidas de seguridad. Aunque la finalidad original prevista para estas opciones era legtima, algunas personas han hallado la forma de explotarlas para lograr objetivos menos loables. (Para ver un resumen de las vulnerabilidades de las opciones IP que los atacantes pueden explotar, consulte Reconocimiento de red mediante opciones IP en la pgina 12). Ya sea de forma intencionada o accidental, en ocasiones los atacantes desconfiguran las opciones IP y generan campos incompletos o mal formados. Con independencia de las intenciones de la persona que manipul el paquete, un formato incorrecto es de por s algo anmalo y potencialmente daino para el destinatario.
Encabezado IP
Versin Tamao del encabezado Tipo de servicio 0 Protocolo D Tamao total del paquete (en bytes) M Desplazamiento del fragmento
Direccin de destino Opciones Carga de datos Si las opciones IP estn mal formateadas, el dispositivo NetScreen registra el evento en los contadores SCREEN de la interfaz de entrada.
Cuando se habilita la opcin SCREEN Bad IP Option Protection, el dispositivo NetScreen bloquea los paquetes cuyo encabezado IP contenga cualquier opcin IP mal formateada. El dispositivo NetScreen registra el evento en el registro de eventos.
216
Opciones IP incorrectas
Para detectar y bloquear paquetes con opciones IP incorrectamente formateadas, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se origin el paquete:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Bad IP Option Protection y haga clic en Apply .
CLI
set zone zone screen ip-bad-option
217
Protocolos desconocidos
PROTOCOLOS DESCONOCIDOS
Por el momento, los tipos de protocolos con los nmeros de identificacin 137 o superior estn reservados y no definidos. Debido precisamente a que estos protocolos no estn definidos, no se puede saber por adelantado si un determinado protocolo desconocido es legtimo o malvolo. Salvo que su red utilice un protocolo no estndar con un nmero de identificacin 137 o superior, una buena medida de precaucin es impedir que esos elementos desconocidos puedan entrar en su red protegida.
Si el nmero de identificacin del protocolo es 137 o superior, el dispositivo NetScreen bloquea el paquete. Tipo de servicio 0 Protocolo D Tamao total del paquete (en bytes) M Desplazamiento del fragmento
Encabezado IP
Versin Tamao del encabezado
Direccin de origen Direccin de destino Opciones Carga de datos
Cuando se habilita la opcin SCREEN Unknown Protocol Protection, el dispositivo NetScreen descarta los paquetes cuyo campo de protocolo contenga un nmero de identificacin de protocolo 137 o superior.
218
Protocolos desconocidos
Para descartar los paquetes que utilicen un protocolo desconocido, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Unknown Protocol Protection y haga clic en Apply .
CLI
set zone zone screen unknown-protocol
219
Fragmentos de paquetes IP
FRAGMENTOS DE PAQUETES IP
A medida que los paquetes van pasando por diferentes redes, en ocasiones resulta necesario dividirlos en trozos ms pequeos (fragmentos) para adaptar su tamao a la unidad de transmisin mxima (Maximum Transmission Unit o MTU) de cada red. Aprovechando los fragmentos IP, un atacante puede intentar explotar las vulnerabilidades existentes en el cdigo de reensamblaje de paquetes de determinadas implementaciones de pilas IP (IP stacks). Cuando la vctima recibe estos paquetes, los resultados pueden variar desde un procesamiento incorrecto de los paquetes hasta la cada total del sistema.
Si el flag de ms fragmentos est activado o hay un valor distinto de cero en el campo de desplazamiento del fragmento
Encabezado IP
Versin Tamao del encabezado Tipo de servicio 0 Protocolo D M
Tamao total del paquete (en bytes)

Direccin de origen Direccin de destino Opciones Carga de datos el dispositivo NetScreen bloquea el paquete.
Cuando se habilita el dispositivo NetScreen para rechazar fragmentos IP en una zona de seguridad, el dispositivo bloquea todos los fragmentos de paquetes IP que reciba en las interfaces asociadas a esa zona.
220
Fragmentos de paquetes IP
Para descartar los paquetes IP fragmentados, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona de origen de los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Block Fragment Traffic y haga clic en Apply .
CLI
set zone zone screen block-frag
221
Fragmentos SYN
FRAGMENTOS SYN
El protocolo de Internet (IP) encapsula los segmentos SYN del protocolo de control de transmisiones (Transmission Control Protocol o TCP) en el paquete IP que inicia una conexin de TCP. Dado que la finalidad de este paquete es iniciar una conexin e invocar un segmento SYN/ACK como respuesta, el segmento SYN generalmente no contiene datos. Como el paquete IP es pequeo, no existe ningn motivo legtimo para su fragmentacin. Un paquete SYN fragmentado es algo anmalo y, por lo tanto, sospechoso. Como medida preventiva, impida que tales elementos desconocidos puedan entrar en su red protegida. Cuando se habilita la opcin SCREEN SYN Fragment Detection, el dispositivo NetScreen detecta los paquetes cuyo encabezado IP indique que el paquete se ha fragmentado y que el flag SYN est activado en el encabezado TCP. El dispositivo NetScreen registra el evento en la lista de contadores SCREEN de la interfaz de entrada. Para descartar los paquetes IP que contengan fragmentos SYN, utilice uno de los siguientes mtodos, donde la zona de seguridad especificada es la zona en la que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN Fragment Protection y haga clic en Apply .
CLI
set zone zone screen syn-frag
222
Fragmentos SYN
Si el flag de ms fragmentos est activado
o hay un valor distinto de cero en el campo de desplazamiento del fragmento
Encabezado IP
Versin
Tamao del encabezado
Tipo de servicio 0 Protocolo Direccin de origen Direccin de destino Opciones (si las hay) D
Tamao total del paquete (en bytes) M

Encabezado TCP
Nmero de puerto de origen de 16 bits
Nmero de puerto de destino de 16 bits
Nmero de secuencia de 32 bits Nmero de reconocimiento de 32 bits Tamao de encabezado Reservado (6 bits) U A P R S F R C S S Y I G K H T N N Tamao de ventana de 16 bits Indicador urgente de 16 bits
Suma de comprobacin de TCP de 16 bits Opciones (si las hay) Datos (si los hay) y el flag SYN est activado
el dispositivo NetScreen descarta el paquete.
223
Fragmentos SYN
224
Captulo 7
Prevencin de ataques de sobrefacturacin de GPRS

Este captulo contiene las siguientes secciones: Descripcin del ataque de sobrefacturacin en la pgina 226 Solucin al ataque de sobrefacturacin en la pgina 228 Mdulo de NSGP en la pgina 228 Protocolo Gatekeeper de NetScreen en la pgina 228
Puede configurar los dispositivos NetScreen para evitar ataques de sobrefacturacin de GPRS (servicio general de radio por paquetes). Solamente los dispositivos de serie NetScreen-500 y NetScreen-5000 admiten esta funcin.
225
Captulo 7 Prevencin de ataques de sobrefacturacin de GPRS
Descripcin del ataque de sobrefacturacin
DESCRIPCIN DEL ATAQUE DE SOBREFACTURACIN

Antes de explicar qu es un ataque de sobrefacturacin, es importante saber que las estaciones mviles (MS) obtienen su direccin IP de un conjunto de direcciones IP. Dicho esto, un ataque de sobrefacturacin puede producirse de varias maneras. A saber, puede ocurrir cuando un suscriptor legtimo devuelve su direccin IP al conjunto de direcciones IP. En ese momento, un atacante puede secuestrar la direccin IP, que es vulnerable porque la sesin todava sigue abierta. Cuando el atacante se hace con el control de la direccin IP, sin ser detectado e informado, el atacante puede descargar datos gratis (o ms exactamente, a expensas del suscriptor legtimo) o enviar datos a otros suscriptores. El ataque de sobrefacturacin puede producirse tambin cuando una direccin IP queda disponible y es reasignada a otro MS. El trfico iniciado por la MS anterior podra reenviarse a la nueva MS, provocando, por lo tanto, que se facture a la nueva MS el trfico no solicitado. Las ilustraciones siguientes explican detalladamente esta situacin.
MS1 obtiene una direccin IP y solicita un tnel GTP al GGSN. El SGSN genera un tnel GTP por cada peticin de MS1. MS1 inicia una sesin con el servidor.
PLMN 1 MS malvola (MS1: 2.2.1.2/32) SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Tnel de GTP Internet
Servidor
226
Descripcin del ataque de sobrefacturacin
Cuando el servidor comienza a enviar paquetes a MS1, MS1 enva simultneamente una peticin al SGSN para eliminar el tnel de GTP, pero deja la sesin abierta al servidor en el cortafuegos de Gi. El servidor contina enviando paquetes al GGSN. El cortafuegos de Gi, desconociendo que el tnel de GTP fue eliminado, reenva los paquetes al GGSN. El GGSN descarta los paquetes porque el tnel de GTP ya no existe. Una nueva estacin mvil, MS2 (la vctima), enva una peticin al SGSN de un tnel de GTP al GGSN y recibe una direccin IP de 2.2.1.2/32 (la misma direccin IP que utiliza MS1). El SGSN crea un nuevo tnel de GTP al GGSN. En el momento de la deteccin del nuevo tnel de GTP para la direccin IP de destino 2.2.1.2, el GGSN, que continu recibiendo paquetes para la antigua sesin con la misma direccin IP de destino pero MS diferente (MS1), reenva ahora estos paquetes a MS2. Aunque MS2 no solicit este trfico previsto para MS1, se le factura a MS2.
PLMN 1 MS1 solicita la eliminacin del tnel de GTP y abandona la sesin. SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Servidor
Internet
PLMN 1 Estacin mvil nueva (MS2: 2.2.1.2/32) SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Nuevo tnel de GTP Internet
Servidor
227
Solucin al ataque de sobrefacturacin
SOLUCIN AL ATAQUE DE SOBREFACTURACIN

Para proteger a los suscriptores de una PLMN (red mvil terrestre pblica) de ataques de sobrefacturacin se requieren dos dispositivos NetScreen y la participacin de los mdulos NSGP (protocolo de equipo selector NetScreen) y NSGP.
Mdulo de NSGP
El mdulo de NSGP incluye dos componentes: el cliente y el servidor. Esta versin de ScreenOS admite el componente del servidor de NSGP, que significa que puede configurar un dispositivo NetScreen para que haga de servidor, tambin conocido como cortafuegos Gi. El dispositivo cliente, tambin conocido como cortafuegos de GTP (Protocolo de tunelacin GPRS), debe ejecutar el firmware ScreenOS 5.0.0 GPRS (para obtener ms informacin, consulte el ScreenOS 5.0.0 GPRS Reference Guide). Hacemos referencia a un dispositivo NetScreen como cortafuegos Gi cuando se implementa en la interfaz Gi de una red GPRS. La interfaz Gi es la conexin entre un GGSN (nodo de soporte de la puerta de enlace GPRS) e Internet o las redes de destino conectadas con un PLMN. Hacemos referencia a un dispositivo NetScreen como cortafuegos de GTP cuando se implementa entre GGSN y SGSN (nodo de soporte de servicio GPRS) dentro del mismo PLMN.
Protocolo Gatekeeper de NetScreen

NSGP utiliza el protocolo de control de transmisin (TCP) y supervisa la conectividad entre el cliente y el servidor enviando mensajes de saludo a intervalos determinados. NSGP slo admite actualmente el tipo de sesin de contexto, que es un espacio que mantiene informacin de usuario-sesin, asociado a una zona de seguridad e identificado por un nmero nico (ID de contexto). Al configurar NSGP en los dispositivos cliente y servidor, debe utilizar el mismo ID de contexto en cada dispositivo. Cuando el cliente enva una peticin de borrar sesin al servidor, la peticin debe incluir la identificacin del contexto y la direccin IP del servidor. En el momento de recibir el mensaje de borrar sesin, el servidor busca la identificacin del contexto y borra la sesin de su tabla. Configure NSGP en el cortafuegos de GTP para habilitarlo de forma que notifique al cortafuegos Gi cuando se elimine un tnel de GTP y configure NSGP en el cortafuegos Gi y habiltelo para que borre las sesiones automticamente siempre que el cortafuegos Gi reciba una notificacin del cortafuegos GTP de que se ha eliminado un tnel de GTP. Al borrar las sesiones, el cortafuegos Gi detiene el trfico no solicitado.
La ilustracin siguiente describe cmo pueden impedir los dispositivos NetScreen los ataques de sobrefacturacin.
Despus de iniciar una sesin con el servidor y cuando el servidor comienza a enviar los paquetes a MS1, MS1 enva una peticin al SGSN para eliminar el tnel de GTP y abandonar la sesin. Con la eliminacin del tnel, el cortafuegos de GTP notifica inmediatamente al cortafuegos Gi de la eliminacin del tnel GTP. El cortafuegos Gi elimina la sesin de su tabla. Posteriormente, cuando el servidor intenta enviar paquetes al GGSN, el cortafuegos Gi los intercepta y los descarta. En consecuencia, una nueva MS, aunque sea usando la misma direccin IP que la MS anterior, no puede recibir el trfico que no ha iniciado ni se le puede facturar por ello.
MS1 solicita la eliminacin del tnel de GTP y abandona la sesin.
El cortafuegos Gi est ejecutando el firmware ScreenOS 5.1.0 NSGP.
PLMN 1 El cortafuegos de GTP notifica al cortafuegos Gi de la eliminacin
SGSN
GGSN
Servidor Internet
El cortafuegos GTP est ejecutando el firmware ScreenOS 5.1.0 GPRS.
229
Ejemplo: Configuracin de la funcin de prevencin de ataques de sobrefacturacin

En este ejemplo, establece la opcin Overbilling en una interfaz del dispositivo NetScreen para habilitar el intercambio de informacin de ataques Overbilling y configura NSGP.
1
PLMN 1
Cortafuegos de GTP 1.1.2.5/24
Cortafuegos Gi 2.2.1.4/24
Servidor
Internet
WebUI
Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Untrust (seleccione) IP Address/Netmask: 2.2.1.4/24 Management Services: Telnet (seleccione) Other Services: Overbilling (seleccione)
1. Para emplear esta funcin, debe habilitarla en una interfaz en cada uno de los dispositivos NetScreen: el cortafuegos de GTP (cliente) y el cortafuegos Gi (servidor). La interfaz para el cliente y el servidor deben tener direcciones IP distintas. Adems, slo puede habilitar NSGP en una interfaz fsica de ethernet.
230
Configuration > Advanced > NSGP (Overbilling): Introduzca lo siguiente, haga clic en Add y, a continuacin, haga clic en OK : Context ID: 2 Zone: Untrust
CLI
ns500-> ns500-> ns500-> ns500-> ns500-> save set set set set set interface ethernet1/2 zone Untrust interface ethernet1/2 ip 2.2.1.4/24 interface ethernet1/2 manage telnet interface ethernet1/2 nsgp nsgp context 2 type session zone untrust
231
232
Apndice A
Contextos para firmas definidas por el usuario
El contexto define la ubicacin dentro del paquete donde el mdulo NetScreen Deep Inspection (DI) busca una firma que coincida con el patrn del objeto de ataque. Al definir un objeto de ataque de firma completa, puede especificar cualquier contexto de las listas siguientes. Despus de definir un objeto de ataque, debe colocarlo en un grupo de objetos de ataque definido por el usuario para su uso en las directivas. Nota: Un grupo de objetos de ataque definido por el usuario slo puede contener objetos de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se pueden mezclar objetos de ataque predefinidos con otros objetos de ataque definidos por el usuario.
Protocolo AIM Contexto aim-chatroom-desc aim-chatroom-name aim-get-file aim-nick-name aim-put-file aim-screen-name Descripcin (establece el contexto como...) la descripcin de una sala de chat en una sesin de America Online Instant Messenger (AIM) o ICQ (I Seek You) el nombre de una sala de chat en una sesin AIM o ICQ el nombre de un archivo que un usuario est transfiriendo desde un interlocutor el alias de un usuario de AIM o ICQ el nombre de un archivo que un usuario est transfiriendo a un interlocutor el nombre en pantalla de un usuario AIM o ICQ
A-I
Apndice A Contextos para firmas definidas por el usuario
Protocolo DNS
Contexto dns-cname
Descripcin (establece el contexto como...) el CNAME (nombre cannico) en una peticin o respuesta de sistema de nombre de dominio (DNS), tal y como se define en la norma RFC 1035, Domain Names Implementation and Specification.
FTP
ftp-command ftp-password ftp-pathname ftp-username
uno de los comandos FTP especificados en la norma RFC 959, File Transfer Protocol (FTP) una contrasea de inicio de sesin de FTP un directorio o nombre de archivo en cualquier comando FTP el nombre que un usuario introduce al iniciar una sesin en un servidor FTP el nombre de un archivo que un cliente Gnutella intenta descargar el nombre de usuario y la contrasea descodificados a partir de un encabezado Authorization: Basic en una peticin HTTP, tal y como se especifica en la norma RFC 1945, Hypertext Transfer Protocol HTTP/1.0 el campo user-agent del encabezado de una peticin HTTP (cuando los usuarios visitan una pgina web, en este campo proporcionan informacin sobre sus exploradores). una lnea de peticin HTTP la lnea de estado en una respuesta HTTP (la lnea de estado es un cdigo de tres cifras que un servidor web enva a un cliente para comunicarle el estado de una conexin. Por ejemplo, 401 quiere decir Unauthorized y 404 quiere decir Not found). el texto, o los datos HTML, de una transaccin HTTP
Gnutella HTTP
gnutella-httpget-filename http-authorization
http-headeruser-agent http-request http-status
http-text-html
A-II
Protocolo
Contexto http-url http-url-parsed http-urlvariable-parsed
Descripcin (establece el contexto como...) el localizador de recurso uniforme (URL) de una peticin HTTP tal y como aparece en la secuencia de datos una cadena de texto normalizada descodificada a partir de una cadena unicode que comprende la URL utilizada en HTTP una variable de interfaz de puerta de enlace comn (CGI) descodificada en la URL de una peticin HTTP-GET un argumento en un comando AUTHENTICATE de Internet Mail Access Protocol (IMAP). El argumento indica el tipo de mecanismo de autenticacin que el cliente IMAP propone al servidor. Ejemplos de ello son KERBEROS_V4, GSSAPI (consulte la norma RFC 1508, Generic Security Service Application Program Interface) y SKEY. Para obtener informacin acerca de IMAP, consulte las normas RFCs 1730, Internet Message Access Protocol - Version 4, y RFC 1731, IMAP4 Authentication Mechanisms.
IMAP
imap-authenticate
imap-login imap-mailbox imap-user MSN Messenger
el nombre de usuario o la contrasea con texto sin formato en un comando LOGIN de IMAP la cadena de texto del buzn en un comando SELECT de IMAP el nombre de usuario en un comando LOGIN de IMAP
msn-display-name el nombre visible de un usuario en una sesin de mensajera instantnea de Microsoft Network (MSN) msn-get-file msn-put-file msn-sign-in-name el nombre de un archivo que un cliente se est descargando desde un interlocutor el nombre de un archivo que un cliente est enviando a un interlocutor el nombre en pantalla (nombre de usuario) de un usuario de la mensajera instantnea MSN
A-III
Protocolo POP3
Contexto pop3-auth
Descripcin (establece el contexto como...) el comando AUTH en una sesin de Post Office Protocol, versin 3 (POP3) Para obtener informacin acerca de POP3, consulte la norma RFC 1939, Post Office Protocol Version 3 la cadena de texto en el encabezado From: (remitente) de un correo electrnico en una transaccin POP3 la cadena de texto de cualquier lnea de encabezado de un correo electrnico en una transaccin POP3 la cadena de texto en el encabezado Subject: (asunto) de un correo electrnico en una transaccin POP3 la cadena de texto en el encabezado To: (destinatario) de un correo electrnico en una transaccin POP3 el nombre del archivo de contenido de un archivo adjunto Multipurpose Internet Mail Extensions (MIME) en una sesin POP3 el nombre de usuario en una sesin POP3
pop3-header-from pop3-header-line pop3-headersubject pop3-header-to pop3-mimecontent-filename pop3-user SMB
smb-account-name el nombre de una cuenta de Server Message Blocks (SMB) en una peticin SESSION_SETUP_ANDX de una sesin SMB smb-connect-path smb-connectservice la ruta de conexin en la peticin TREE_CONNECT_ANDX de una sesin SMB el nombre del servicio de conexin en una peticin TREE_CONNECT_ANDX de una sesin SMB
smb-copy-filename el nombre de un archivo en una peticin COPY de una sesin SMB smb-deletefilename smb-openfilename el nombre de un archivo en una peticin DELETE de una sesin SMB el nombre de un archivo en las peticiones NT_CREATE_ANDX y OPEN_ANDX de una sesin SMB
A-IV
Protocolo SMTP
Contexto smtp-from
Descripcin (establece el contexto como...) la cadena de texto en una lnea de comandos MAIL FROM de una sesin Simple Mail Transfer Protocol (SMTP), tal y como se describe en la norma RFC 2821, Simple Mail Transfer Protocol la cadena de texto en el encabezado From: (remitente) de una sesin SMTP la cadena de texto en cualquier lnea de encabezado de una sesin SMTP la cadena de texto en el encabezado Subject: (asunto) de una sesin SMTP la cadena de texto en el encabezado To: (destinatario) de una sesin SMTP el nombre del archivo de contenido de un archivo adjunto Multipurpose Internet Mail Extensions (MIME) en una sesin SMTP la cadena de texto en la lnea de comandos RCPT TO de una sesin SMTP los primeros 256 bytes de una secuencia de datos TCP reensamblada y normalizada el nombre identificativo alternativo asociado con el usuario principal de un usuario de mensajera instantnea de Yahoo! el texto de los mensajes intercambiados en una sala de chat de mensajera instantnea de Yahoo! el nombre de una sala de chat de mensajera instantnea de Yahoo! el alias de un usuario de mensajera instantnea de Yahoo!
smtp-header-from smtp-header-line smtp-headersubject smtp-header-to smtp-mimecontent-filename smtp-rcpt Yahoo! Messenger stream256 ymsg-alias ymsg-chatroommessage ymsg-chatroomname ymsg-nickname
A-V
Protocolo Yahoo! Messenger (cont)
Contexto ymsg-p2p-getfilename-url ymsg-p2p-putfilename-url
Descripcin (establece el contexto como...) la ubicacin de un archivo en un equipo de interlocutor de mensajera instantnea de Yahoo! desde la cual se puede descargar dicho archivo la ubicacin de un archivo en un equipo de interlocutor de mensajera instantnea de Yahoo! a la cual se puede descargar dicho archivo
A-VI
ndice
ndice
acciones de ataque 164175 close 164 close client 164 close server 164 drop 164 drop packet 164 ignore 165 none 165 AIM 152 ALG 82 America Online Instant Messaging vase AIM 152 anlisis antivirus 86110 correo web HTTP 91 descompresin 106 FTP 87 goteo HTTP 109 HTTP 89 HTTP keep-alive 108 IMAP 92 MIME 90 modo de fallo 108 POP3 92 recursos de AV por cliente 107 SMTP 94 suscripcin 96 anlisis de puertos 10 anlisis FIN 22 anomalas del protocolo 157 ALGs 154 aplicaciones de mensajera inmediata 152 aplicaciones P2P 153 configuracin de parmetros 198 protocolos admitidos 151155 protocolos de red bsicos 151 applets Java, bloquear 208 archivos exe, bloquear 208 archivos zip, bloquear 208 ataque de sobrefacturacin descripcin 226 solucin 228 ataque Teardrop 75 ataque terrestre 71 ataque WinNuke 77 ataques ataque terrestre 71 direcciones MAC desconocidas 58 etapas 2 fragmentos de paquetes IP 220 fragmentos ICMP 212
fragmentos SYN 222223 inundacin de la tabla de sesiones 25, 42 inundacin ICMP 67 inundacin SYN 5258 inundacin UDP 69 objetivos comunes 1 opciones de deteccin y defensa 35 paquetes ICMP grandes 214 Ping of Death 73 protocolos desconocidos 218 Teardrop 75 WinNuke 77 AV, anlisis vase anlisis antivirus
barrido de direcciones 8 base de datos de objetos de ataque 141148 actualizacin automtica 141, 144 actualizacin inmediata 141, 142 actualizacin manual 142, 147 cambiar la URL predeterminada 147 notificacin automtica y actualizacin manual 142, 145
CLI convenciones vii cloque de mensajes de servidor vase SMB comprobacin de SYN 22, 2326 agujero de reconocimiento 25 enrutamiento asimtrico 24 interrupcin de sesin 24 inundacin de la tabla de sesiones 25 conjuntos de caracteres compatibles con ScreenOS xi controles ActiveX, bloqueo 207 convenciones CLI vii ilustracin x nombres xi WebUI viii
base de datos de objetos de ataque 141148 cambiar gravedad 159 contexto I expresiones regulares 188190 firmas completas 156 firmas de secuencias 157 firmas personalizadas 188194 grupos de objetos de ataque 158 inhabilitar objetos de ataque 163 negacin del objeto de ataque 200 objetos de ataque 138 objetos de ataque personalizados 187 registro de grupos de objetos de ataque 176 servicios personalizados 179186 vista general 137 volver a activar objetos de ataque 163 denegacin de servicio vase DoS descompresin, anlisis antivirus 106 directivas contexto 140 filtrado de URL 131 seccin central 24, 139 DoS 4178 ataque especfico del sistema operativo 7378 cortafuegos 4251 inundacin de la tabla de sesiones 25, 42 red 5272 drop-no-rpf-route 28
envejecimiento agresivo 4649 establecimiento de conexin en tres fases 52 evasin 2238 exploits vase ataques expresiones regulares 188190
DDoS 41 Deep Inspection 159194 acciones de ataque 164175 anomalas del protocolo 157
filtrado de contenidos 79134 filtrado de paquetes dinmico 3 filtrado de URL 111, 126134 activacin en el nivel de dispositivo 131 aplicacin de perfiles a directivas 120 aplicacin en el nivel de directivas 131 cach 125 categoras URL 115 enrutamiento 132 estado del servidor 131 integrada 112
Juniper Networks NetScreen conceptos y ejemplos Volume 4: Mecanismos de deteccin de ataques y defensa
IX-I
ndice
introducir un contexto 113 mensaje de URL bloqueada de NetScreen 130 nombre del servidor SurfControl 129 nombre del servidor Websense 129 perfiles 117 puerto del servidor SurfControl 129 puerto del servidor Websense 129 reenviar 126 servidores CPA de SurfControl 112 servidores por vsys 128 servidores SurfControl 124 SurfControl SCFP 128 tiempo de espera de comunicaciones communication timeout 129 tipo de mensaje de URL bloqueada 130 FIN sin flag ACK 18 firmas completas 156 definicin 156 firmas de secuencias 157 flags SYN y FIN activados 16 Fragmentos SYN 222223
umbral 53 umbral de alarma 56 umbral de ataque 56 umbral de destino 57 umbral de origen 57 inundacin UDP 69 IP fragmentos de paquetes 220
lmites de sesiones 4246 de destino 43, 46 segn sus orgenes 42, 45 Llamada a procedimientos remotos de Microsoft vase MS-RPC 154
opcin IP de ruta de origen estricta 14, 3638 opciones IP 1215 atributos 1214 formateadas incorrectamente 216 grabacin de ruta 13, 15 ID de secuencia 14, 15 marca de hora 14, 15 ruta de origen 36 ruta de origen abierta 13, 3638 ruta de origen estricta 14, 3638 seguridad 13, 15
P
P2P 153 BitTorrent 153 DC 153 eDonkey 153 FastTrack 153 Gnutella 153 KaZaa 153 MLdonkey 154 Skype 154 SMB 154 WinMX 154 Ping of Death 73 prevencin de ataques de sobrefacturacin configuracin 230 prevencin de ataques de sobrefacturacin de GPRS 225231 proteccin contra URL maliciosas 8185 proteccin frente a ataques nivel de directivas 5 nivel de zona de seguridad 5 protocolos desconocidos 218 puerta de enlace en la capa de aplicacin vase ALG punto a punto vase P2P
G
grupos de objetos de ataque 158 aplicado en directivas 150 cambiar gravedad 159 niveles de gravedad 158 registro 176 URLs de ayuda 155
H
HTTP bloqueo de componentes 207209 goteo 109 mtodo keep-alive 108 tiempo de espera de la sesin 48
mensajera inmediata 152 AIM 152 MSN Messenger 152 Yahoo! Messenger 152 Microsoft Network Instant Messenger Consulte MSN Messenger MIME, anlisis AV 90 modo de fallo 108 modo transparente descartar las direcciones MAC desconocidas 58 MSN Messenger 152 MS-RPC 154
negacin, Deep Inspection 200 NetBIOS 154 nombres convenciones xi
I
ICMP fragmentos 212 paquetes grandes 214 ilustracin convenciones x inspeccin de estado 3 inundacin de la tabla de sesiones 25, 42 inundacin del proxy SYN-ACK-ACK 50 inundacin ICMP 67 inundacin SYN 5258 ataque 52 descartar las direcciones MAC desconocidas 58 tamao de la cola 58 tiempo de espera 58
objetos AV tiempo de espera 103 objetos de ataque 138, 149157 anomalas del protocolo 157, 198 desactivar 163 firmas completas 156 firmas de secuencias 157 firmas de secuencias TCP 195 negacin 200 volver a activar 163 opcin de seguridad IP 13, 15 opcin IP de grabacin de ruta 13, 15 opcin IP de ID de secuencia 14, 15 opcin IP de marca de hora 14, 15 opcin IP de ruta de origen abierta 13, 3638
rastreo puertos abiertos 10 red 8 sistemas operativos 1620 reconocimiento 738 anlisis de puertos 10 anlisis FIN 22 barrido de direcciones 8 flags SYN y FIN activados 16 opciones IP 12 paquete TCP sin flags 20 reensamblaje de fragmentos 8185 registro grupos de objetos de ataque 176
IX-II
ndice
RFCs 1035, Domain NamesImplementation and Specification II 1038, Revised IP Security Option 13 1508, Generic Security Service Application Program Interface III 1730, Internet Message Access Protocol Version 4 III 1731, IMAP4 Authentication Mechanisms III 1939, Post Office Protocol - Version 3 IV 1945, Hypertext Transfer Protocol HTTP/1.0 II 2821, Simple Mail Transfer Protocol V 791, Internet Protocol 12, 13, 73, 216 792, Internet Control Message Protocol 73 793, Transmission Control Protocol 18 959, File Transfer Protocol (FTP) II
SCREEN anlisis de puertos 10 ataque terrestre 71 ataque WinNuke 77 barrido de direcciones 8 descartar las direcciones MAC desconocidas 58 FIN sin ACK 22 FIN sin flag ACK, descarte 18
flags SYN y FIN activados 16 fragmentos de paquetes IP, bloquear 220 fragmentos ICMP, bloquear 212 fragmentos SYN, detectar 222223 inundacin del proxy SYN-ACK-ACK 50 inundacin ICMP 67 inundacin SYN 5258 inundacin UDP 69 opcin IP de ruta de origen abierta, detectar 38 opcin IP de ruta de origen estricta, detectar 38 opcin IP de ruta de origen, denegar 38 opciones IP 12 opciones IP incorrectas, descartar 216 paquete TCP sin flags, detectar 20 paquetes ICMP grandes, bloquear 214 Ping of Death 73 protocolos desconocidos, descartar 218 suplantacin de IP 2735 Teardrop 75 zonas VLAN y MGT 3 servicios personalizados 179 SMB NetBIOS 154 suplantacin de IP 2735 capa 2 28, 34 capa 3 27, 30
drop-no-rpf-route 28 SurfControl 112, 126
T
TCP firmas de secuencias 195 paquete sin flags 20 tiempo de espera de la sesin 47 tiempo de espera de la sesin HTTP 48 TCP 47 UDP 48
U
UDP tiempo de espera de la sesin 48 umbral inferior 47 umbral superior 47
Y
Yahoo! Messenger 152
Z
zombie, agente 41, 43
IX-III
ndice
IX-IV

Ssg5 Manual

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Ssg5 Manual

Hochgeladen von

Copyright:

Verfügbare Formate

NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS

ScreenOS 5.1.0 Ref. 093-1369-000-SP Revisin B

Documentacin de NetScreen de Juniper Networks ..................................................xii

Captulo 3 Defensas contra los ataques de denegacin de servicio.........................................41

Captulo 1 Proteccin de una red................................1

Captulo 2 Bloqueo de reconocimiento .......................7

Ataques DoS contra la red .......................................52

Tcnicas de evasin ................................................22

Ataques DoS especficos de cada sistema operativo .....................................................73

Captulo 4 Supervisin y filtrado de contenidos .........79

Anlisis antivirus ........................................................86

Captulo 5 Deep Inspection .....................................135

Objetos de ataque y grupos..................................149

Bloqueo granular de los componentes de HTTP.....207

Acciones de ataque ..............................................164

Registro de ataques ...............................................176

Captulo 6 Atributos de los paquetes sospechosos ..211

Asignacin de servicios personalizados a aplicaciones .......................................................179

Objetos de ataque y grupos personalizados.........187

Captulo 7 Prevencin de ataques de sobrefacturacin de GPRS ........................................225

Convenciones de la interfaz de lnea de comandos (CLI)

Convenciones de la interfaz grfica (WebUI)

Address Name: addr_1

Convenciones para las ilustraciones

Dispositivo NetScreen genrico

Dominio de enrutamiento virtual

Rango de direcciones IP dinmicas (DIP) Equipo de escritorio

Icono de conmutador (switch)

Convenciones de nomenclatura y conjuntos de caracteres

Documentacin de NetScreen de Juniper Networks

DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKS

Proteccin de una red

Captulo 1 Proteccin de una red

Captulo 1 Proteccin de una red

Mecanismos de deteccin y defensa

MECANISMOS DE DETECCIN Y DEFENSA

Captulo 1 Proteccin de una red

Mecanismos de deteccin y defensa

Fragmentos ICMP Paquetes ICMP grandes Opciones IP incorrectas

Protocolos desconocidos Fragmentos de paquetes IP Fragmentos SYN

Captulo 1 Proteccin de una red

Captulo 1 Proteccin de una red

Ejemplo: Supervisin de ataques desde la zona Untrust

Captulo 2 Bloqueo de reconocimiento

ethernet2 1.2.2.1/24 DMZ

Captulo 2 Bloqueo de reconocimiento

El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.

Captulo 2 Bloqueo de reconocimiento

Captulo 2 Bloqueo de reconocimiento

El valor se mide en microsegundos. El ajuste predeterminado es 5000 microsegundos.

Captulo 2 Bloqueo de reconocimiento

Reconocimiento de red mediante opciones IP

RECONOCIMIENTO DE RED MEDIANTE OPCIONES IP

Identificacin Tiempo de vida (Time to Live o TTL)

Suma de comprobacin del encabezado Direccin de origen

Direccin de destino Opciones Carga de datos

Indica que no hay opciones IP en el Ninguno encabezado.

Captulo 2 Bloqueo de reconocimiento

Reconocimiento de red mediante opciones IP

Loose Source Route

Captulo 2 Bloqueo de reconocimiento

Reconocimiento de red mediante opciones IP