Detección de ataques y defensas en ScreenOS

Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
Número de pieza: 530-017770-01-SP, Revisión 02
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 4:
Detección ataques y mecanismos de defensa
Versión 6.0.0, Rev. 02

ii
Copyright Notice
Copyright © 2007 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Reorient or relocate the receiving antenna.
Increase the separation between the equipment and receiver.
Consult the dealer or an experienced radio/TV technician for help.
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

Contenido iii
Contenido
Acerca de este volumen ix
Convenciones del documento ..........................................................................x
Convenciones de la interfaz de usuario web..............................................x
Convenciones de interfaz de línea de comandos ......................................xi
Convenciones de nomenclatura y conjuntos de caracteres.......................xi
Convenciones para las ilustraciones ........................................................ xii
Asistencia y documentación técnica.............................................................. xiii
Capítulo 1 Protección de una red 1
Etapas de un ataque.........................................................................................2
Mecanismos de detección y defensa ................................................................2
Supervisión de vulnerabilidades.......................................................................5
Ejemplo: Supervisión de ataques desde la zona Untrust ............................5
Capítulo 2 Bloqueo de reconocimiento 7
Barrido de direcciones IP .................................................................................8
Barrida de puertos ...........................................................................................9
Reconocimiento de red mediante opciones IP ...............................................10
Sondeos del sistema operativo.......................................................................12
indicadores SYN y FIN activados .............................................................13
Indicador FIN sin indicador ACK..............................................................14
Encabezado TCP sin indicadores activados..............................................15
Técnicas de evasión .......................................................................................15
Análisis FIN .............................................................................................16
Indicadores no SYN .................................................................................16
Simulación de IP......................................................................................20
Ejemplo: Protección contra simulación de IP en la capa 3.................22
Ejemplo: Protección contra simulación de IP en la capa 2.................24
Opciones IP de ruta de origen .................................................................26
Capítulo 3 Defensas contra los ataques de denegación de servicio 29
Ataques DoS contra el cortafuegos.................................................................30
Inundaciones de la tabla de sesiones.......................................................30
Límites a la cantidad de sesiones según sus orígenes y destinos .......30
Ejemplo: Limitación de sesiones según su origen..............................32
Ejemplo: Limitación de sesiones según su destino ............................32
Expiración dinámica .........................................................................33
Ejemplo: Expiración dinámica de sesiones........................................34
Inundaciones de SYN-ACK-ACK a través de un servidor proxy ................35
Ataques DoS contra la red..............................................................................37
Inundaciones SYN ...................................................................................37
Cookie SYN..............................................................................................47

iv Contenido
Manual de referencia de ScreenOS: Conceptos y ejemplos
Inundaciones ICMP..................................................................................49
Inundaciones UDP...................................................................................51
Ataque terrestre.......................................................................................52
Ataques de DoS específicos de cada sistema operativo ..................................53
Ping of Death...........................................................................................53
Ataque Teardrop......................................................................................54
WinNuke .................................................................................................55
Capítulo 4 Supervisión y filtrado de contenidos 57
Reensamblaje de fragmentos.........................................................................58
Protección contra URL maliciosas............................................................58
Puerta de enlace en la capa de aplicación................................................59
Ejemplo: Bloquear URL maliciosas en paquetes fragmentados..........60
Análisis antivirus............................................................................................62
Análisis AV externo .................................................................................62
Servidores de análisis ICAP de equilibrio de carga ............................64
Análisis AV interno ..................................................................................64
Análisis AV del tráfico de IM....................................................................66
Clientes de IM ...................................................................................66
Servidor de IM ..................................................................................67
Protocolos de IM ...............................................................................67
Aspectos de seguridad de la mensajería instantánea.........................68
Asuntos de seguridad de IM ..............................................................68
Análisis de mensajes de chat.............................................................69
Análisis de la transferencia de archivos.............................................69
Resultados del análisis AV .......................................................................70
Análisis AV basado en directivas..............................................................71
Análisis de protocolos de aplicación ........................................................72
Aálisis del tráfico de FTP ...................................................................73
Análisis del tráfico de HTTP ..............................................................74
Actualización de los archivos de patrones AV para el analizador
incorporado ......................................................................................81
Suscripción al servicio de firma AV ...................................................81
Ajustes globales del analizador de AV......................................................84
Asignación de recursos de AV ...........................................................84
Comportamiento en modo de fallo: ..................................................85
Tamaño máximo del contenido y número máximo de mensajes
(sólo AV interno).........................................................................85
HTTP Keep-Alive ...............................................................................86
Goteo HTTP (únicamente AV interno) ...............................................87
Perfiles de AV ..........................................................................................88
Asignación de un perfil AV a una directiva de cortafuegos ................89
Inicio de un perfil de AV para AV interno..........................................90
Ejemplo: Análisis para todo tipo de tráfico (AV interno) ....................90
Filtrado anti spam..........................................................................................95
Listas blancas y listas negras ...................................................................96
Configuración básica ...............................................................................97
Filtrado del tráfico spam ...................................................................97
Descarte de los mensajes de spam....................................................97
Definición de una lista negra ...................................................................98
Definición de una lista blanca..................................................................98
Definición de una acción predeterminada ...............................................99
Habilitación de un servidor con lista de bloqueo de spam .......................99
Prueba del sistema antispam...................................................................99

Contenido
Contenido v
Filtrado de Web ...........................................................................................100
Uso de la CLI para iniciar los modos de filtrado de Web........................100
Filtrado de Web integrado .....................................................................101
Servidores de SurfControl ...............................................................102
Caché de filtrado de Web................................................................103
Configuración del filtrado de Web integrado...................................103
Ejemplo: Filtrado de Web integrado................................................109
Redireccionamiento del filtrado de Web................................................110
Admisión del sistema virtual ...........................................................112
Configuración de la redirección de filtrado de Web.........................113
Ejemplo: Redirigir el filtrado de Web ..............................................116
Capítulo 5 Deep Inspection 119
Vista general ................................................................................................120
Servidor de la base de datos de objetos de ataque .......................................124
Paquetes de firmas predefinidas............................................................124
Actualización de paquetes de firmas......................................................125
Antes de empezar a actualizar los objetos de ataque.......................126
Actualización inmediata..................................................................127
Actualización automática ................................................................127
Notificación automática y actualización inmediata..........................129
Actualización manual......................................................................130
Objetos de ataque y grupos..........................................................................132
Protocolos admitidos.............................................................................133
Firmas completas ..................................................................................137
Firmas de secuencias TCP .....................................................................138
Anomalías en el protocolo .....................................................................138
Grupos de objetos de ataque..................................................................139
Cambio de los niveles de gravedad .................................................140
Ejemplo: Deep Inspection para P2P ................................................141
Desactivación de objetos de ataque.......................................................142
Acciones de ataque ......................................................................................143
Ejemplo: Acciones de ataque – Close Server, Close, Close Client.....145
Acciones de ataques de fuerza bruta .....................................................151
Objetos de ataques de fuerza bruta.................................................152
Destinos de ataques de fuerza bruta ...............................................152
Tiempo de espera de ataques de fuerza bruta.................................153
Ejemplo 1........................................................................................153
Ejemplo 2........................................................................................154
Ejemplo 3........................................................................................154
Registro de ataques......................................................................................154
Ejemplo: Desactivación del registro por grupo de ataque................154
Asignación de servicios personalizados a aplicaciones .................................156
Ejemplo: Asignación de una aplicación a un servicio
personalizado ...........................................................................157
Ejemplo: Asignación de aplicación a servicio para ataques HTTP....159
Objetos de ataque y grupos personalizados .................................................160
Objetos de ataque de firma completa que define el usuario ..................160
Expresiones regulares .....................................................................161
Ejemplo: Objetos de ataque de firma completa que define un
usuario .....................................................................................163
Objetos de ataque de la firma de la secuencia de TCP...........................165
Ejemplo: Objeto de ataque de firma de secuencia que define el
usuario .....................................................................................166

vi Contenido
Parámetros configurables de anomalías en protocolos ..........................167
Ejemplo: Modificación de parámetros.............................................167
Negación......................................................................................................168
Ejemplo: Negación de objeto de ataque ..........................................168
Bloqueo granular de los componentes de HTTP ...........................................173
Controles ActiveX ..................................................................................173
Applets de Java......................................................................................174
Archivos EXE.........................................................................................174
Archivos ZIP ..........................................................................................174
Capítulo 6 Detección y prevención de intrusiones 175
Dispositivos de seguridad con capacidad para IDP.......................................176
Flujo de tráfico en un dispositivo con capacidad de IDP...............................176
Configuración de la detección y prevención de intrusiones..........................177
Tareas de configuración previa..............................................................178
Ejemplo 1: Configuración básica de IDP ................................................178
Ejemplo 2: Configuración de IDP para cambio en caso de fallo activo,
pasivo .............................................................................................181
Ejemplo 3: Configuración de IDP para cambio en caso de fallo activo,
activo..............................................................................................183
Configuración de directivas de seguridad.....................................................185
Acerca de las directivas de seguridad ....................................................186
Administración de las directivas de seguridad .......................................186
Instalación de las directivas de seguridad ..............................................186
Uso de las bases de normas de IDP..............................................................187
Administración de las bases de normas de IDP según roles...................188
Configuración de objetos para normas de IDP.......................................188
Uso de las plantillas de directivas de seguridad .....................................189
Habilitación de IDP en las normas de cortafuegos .......................................189
Habilitación de IDP................................................................................190
Especificación del modo en línea o tap en línea ....................................190
Configuración de las normas de IDP ............................................................191
Adición de la base de normas de IDP ....................................................192
Tráfico coincidente................................................................................193
Zonas de origen y de destino ..........................................................194
Objetos de dirección de origen y de destino....................................194
Ejemplo: Establecimiento de origen y de destino............................194
Ejemplo: Establecimiento de múltiples orígenes y destinos.............195
Servicios .........................................................................................195
Ejemplo: Establecimiento de los servicios predeterminados ...........196
Ejemplo: Establecimiento de servicios específicos...........................196
Ejemplo: Establecimiento de servicios no estándar.........................196
Normas definitivas..........................................................................198
Ejemplo: Establecimiento de normas definitivas.............................198
Definición de acciones...........................................................................199
Establecimiento de objetos de ataque....................................................200
Adición de objetos de ataque individualmente................................201
Adición de objetos de ataque por categoría.....................................201
Ejemplo: Adición de objetos de ataque por servicio ........................201
Adición de objetos de ataque por sistema operativo .......................201
Adición de objetos de ataque por gravedad.....................................202
Establecimiento de la acción de IP ........................................................202
Selección de una acción de IP .........................................................203
Selección de una opción de bloqueo ...............................................203

Contenido
Contenido vii
Establecimiento de las opciones de registro....................................203
Establecimiento de las opciones de tiempo de espera.....................203
Establecimiento de la notificación .........................................................204
Establecimiento de los registros......................................................204
Establecimiento de una alerta .........................................................204
Paquetes de registro........................................................................204
Establecimiento de la gravedad .............................................................205
Establecimiento de objetivos .................................................................205
Introducción de comentarios.................................................................205
Configuración de las normas de exclusión ...................................................205
Adición de la base de normas de exclusión ...........................................206
Definición de una coincidencia..............................................................207
Ejemplo: Exclusión de un par origen/destino ..................................208
Establecimiento de los objetos de ataque ..............................................208
Ejemplo: Exclusión de objetos de ataque específicos ......................208
Creación de una norma de exclusión desde el visualizador de
registros..........................................................................................209
Configuración de las normas de puerta de atrás ..........................................210
Adición de la base de normas de puerta de atrás...................................211
Definición de una coincidencia..............................................................212
Servicios .........................................................................................213
Establecimiento del funcionamiento......................................................213
Establecimiento de acciones..................................................................213
Establecimiento de la notificación .........................................................214
Establecimiento de los registros......................................................214
Establecimiento de una alerta .........................................................214
Paquetes de registro........................................................................214
Establecimiento de la gravedad .............................................................215
Configuración de los objetos de ataque de IDP ............................................215
Acerca de los tipos de objeto de ataque de IDP .....................................216
Objetos de ataque de firma.............................................................216
Objetos de ataque de anomalías de protocolo.................................216
Objetos de ataque compuestos .......................................................216
Visualización de grupos y objetos de ataque de IDP predefinidos..........217
Visualización de ataques predefinidos.............................................217
Visualización de grupos predefinidos ..............................................218
Creación de objetos de ataque IDP personalizados................................219
Creación de un objeto de ataque de firma.......................................220
Creación de un Ataque de anomalía de protocolo ...........................226
Creación de un ataque compuesto ..................................................227
Edición de un objeto de ataque personalizado ................................230
Eliminación de un objeto de ataque personalizado .........................230
Creación de objetos de ataque IDP personalizados................................230
Configuración de grupos estáticos...................................................230
Configuración de grupos dinámicos ................................................232
Ejemplo: Creación de un grupo dinámico........................................233

viii Contenido
Actualización de grupos dinámicos .................................................234
Edición de un grupo de ataques personalizado ...............................235
Eliminación de un grupo de ataques personalizado.........................235
Configuración del dispositivo como un dispositivo IDP independiente.........235
Habilitación de IDP................................................................................235
Ejemplo: Configuración de una norma de cortafuegos para IDP
independiente ..........................................................................236
Configuración de la administración basada en funciones ......................237
Ejemplo: Configuración de un administrador sólo de IDP ...............237
Administración de IDP.................................................................................238
Acerca de las actualizaciones de la base de datos de ataques ................238
Descarga de las actualizaciones de la base de datos de ataques ............239
Uso de los objetos de ataque actualizados.......................................239
Actualización del motor IDP............................................................239
Visualización de los registros IDP ..........................................................241
Capítulo 7 Atributos de los paquetes sospechosos 243
Fragmentos ICMP ........................................................................................243
Paquetes ICMP grandes................................................................................244
Opciones IP incorrectas ...............................................................................245
Protocolos desconocidos..............................................................................246
Fragmentos de paquetes IP..........................................................................247
Fragmentos SYN ..........................................................................................248
Apéndice A Contextos para las firmas definidas por el usuario A-I
Índice ........................................................................................................................IX-I

ix
Acerca de este volumen
En el Volumen 4: Detección ataques y mecanismos de defensa se describen las
opciones de seguridad de Juniper Networks disponibles en ScreenOS. Puede
habilitar varias de estas opciones a nivel de zona de seguridad. Estas opciones se
aplican al tráfico que llega al dispositivo de seguridad de Juniper Networks a través
de cualquier interfaz enlazada a una zona para la cual se hayan activado dichas
opciones. Estas opciones ofrecen protección contra análisis de puertos y
direcciones IP, ataques de denegación de servicio (DoS) y cualquier otro tipo de
actividad maliciosa. Es posible aplicar otras opciones de seguridad de red, como el
filtrado de Web, la comprobación antivirus y la detección y prevención de
intrusiones (IDP), a nivel de directivas. Estas opciones sólo se aplican al tráfico que
se encuentre bajo la jurisdicción de las directivas en las que se activan.
Este volumen contiene las siguientes secciones:
Capítulo 1, “Protección de una red,” donde se resumen las etapas básicas de un
ataque y las opciones de cortafuegos disponibles para combatir al atacante en
cada etapa.
Capítulo 2, “Bloqueo de reconocimiento,” donde se describen las opciones
disponibles para bloquear el barrido de direcciones IP, los análisis de puertos y
los intentos de descubrir el tipo de sistema operativo (OS) del sistema objetivo
del ataque.
Capítulo 3, “Defensas contra los ataques de denegación de servicio,” donde se
explican los ataques DoS específicos de cada sistema operativo, red o
cortafuegos, y cómo ScreenOS amortigua dichos ataques.
Capítulo 4, “Supervisión y filtrado de contenidos,” donde se describe cómo
proteger a los usuarios de los localizadores uniformes de recursos (URL)
maliciosos y cómo configurar el dispositivo de seguridad Juniper Networks para
trabajar con productos de otros fabricantes y así proporcionar análisis antivirus,
antispam y filtrado de web.
Capítulo 5, “Deep Inspection,” donde se describe cómo configurar el
dispositivo de seguridad de Juniper Networks para obtener actualizaciones de
objetos de ataque IDP, cómo crear objetos de ataque y grupos de objetos de
ataque definidos por el usuario, y cómo aplicar IDP a nivel de directivas.
NOTA: Las directivas sólo se presentan en este volumen de forma periférica, ya que aquí
se describen las opciones de seguridad de red que se pueden activar a nivel de
directivas. Para examinar las directivas de forma completa, consulte “Directivas”
en la página 2-161.

x Convenciones del documento
Capítulo 6, “Detección y prevención de intrusiones,” donde se describe la
tecnología de detección y prevención de intrusiones (IDP) de Juniper Networks,
que detecta y luego detiene los ataques cuando se despliega en línea con su
red. El capítulo describe cómo aplicar IDP a nivel de directivas para descartar
paquetes o conexiones maliciosas antes de que los ataques puedan llegar a su
red.
Capítulo 7, “Atributos de los paquetes sospechosos,” donde se indican varias
opciones SCREEN que protegen los recursos de red frente a potenciales ataques
indicados por atributos de paquete IP e ICMP inusuales.
Apéndice A, “Contextos para las firmas definidas por el usuario,” que
proporciona descripciones de los contextos que se pueden especificar al definir
un objeto de ataque de firma completa.
Convenciones del documento
Este documento utiliza las convenciones que se describen en las secciones
siguientes:
“Convenciones de la interfaz de usuario web” en la página x
“Convenciones de interfaz de línea de comandos” en la página xi
“Convenciones de nomenclatura y conjuntos de caracteres” en la página xi
“Convenciones para las ilustraciones” en la página xiii
Convenciones de la interfaz de usuario web
En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea
se divide en ruta de navegación y establecimientos de configuración. Para abrir una
página de WebUI e introducir parámetros de configuración, navegue hacia la página
en cuestión haciendo clic en un elemento del menú en el árbol de navegación en el
lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida
que avanza, su ruta de navegación aparece en la parte superior de la pantalla,
cada página separada por signos de mayor y menor.
Lo siguiente muestra los parámetros y ruta de WebUI para la definición
de una dirección:
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: dir_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo
de interrogación (?) en la parte superior izquierda de la pantalla.

Convenciones del documento xi
El árbol de navegación también proporciona una página de configuración de Help >
Config Guide de configuración para ayudarle a configurar las directivas de seguridad
y la Seguridad de protocolo de Internet (IPSec). Seleccione una opción del menú
desplegable y siga las instrucciones en la página. Haga clic en el carácter ? en la
parte superior izquierda para la Ayuda en línea en la Guía de configuración.
Convenciones de interfaz de línea de comandos
Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos
de interfaz de línea de comandos (CLI) en ejemplos y en texto.
En ejemplos:
Los elementos entre corchetes [ ] son opcionales.
Los elementos entre llaves { } son obligatorios.
Si existen dos o más opciones alternativas, aparecerán separadas entre sí por
barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
Las variables aparecen en cursiva:
set admin user nombre1 contraseña xyz
En el texto, los comandos están en negrita y las variables en cursiva.
Convenciones de nomenclatura y conjuntos de caracteres
ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos
(como direcciones, usuarios administradores, servidores de autenticación, puertas
de enlace IKE, sistemas virtuales, túneles de VPN y zonas) definidos en las
configuraciones de ScreenOS:
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles; por ejemplo:
set address trust “local LAN” 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se
elimina; por ejemplo, “ local LAN ” se transformará en “local LAN”.
Los espacios consecutivos múltiples se tratan como uno solo.
En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el
contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente.
Por ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54
se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aquí se encuentran presentes en su totalidad.

xii Convenciones del documento
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de
múltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de
caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, también
conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran
el chino, el coreano y el japonés.
Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción
de las comillas dobles ( “ ), que tienen un significado especial como
delimitadores de cadenas de nombres que contengan espacios.
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.

Convenciones del documento xiii
Convenciones para las ilustraciones
La siguiente figura muestra el conjunto básico de imágenes utilizado en las
ilustraciones de este volumen:
Figura 1: Imágenes de las ilustraciones
Sistema autónomo
o bien
dominio de enrutamiento virtual
Interfaces de zonas de seguridad:
Blanco = Interfaz de zona protegida
(ejemplo = zona Trust)
Negro = Interfaz de zona externa
(ejemplo = zona Untrust)
Dispositivos de seguridad
Juniper Networks
Concentrador
Conmutador
Enrutador
Servidor
Túnel VPN
Dispositivo de red genérico
Rango dinámico de IP (DIP)
Internet
Red de área local (LAN) con
una única subred
o bien
zona de seguridad
Interfaz de túnel
Motor de directivas

xiv Asistencia y documentación técnica
Asistencia y documentación técnica
Para obtener documentación técnica sobre cualquier producto de Juniper Networks,
visite www.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo
“Case Manager” en la página web http://www.juniper.net/customers/support/
o llame al teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al
+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algún error u omisión en este documento, póngase en contacto con
Juniper Networks al techpubs-comments@juniper.net.

1
Capítulo 1
Protección de una red
Puede haber numerosos motivos para entrar a una red protegida. La siguiente lista
contiene algunos objetivos comunes:
Obtener el siguiente tipo de información sobre la red protegida:
Topología
Direcciones IP de los hosts activos
Números de los puertos activos de los hosts activos
Sistema operativo de los hosts activos
Colapsar un host de una red protegida con tráfico fantasma para inducir una
denegación de servicio (DoS)
Colapsar una red protegida con tráfico fantasma para inducir un DoS en toda la
red
Colapsar un cortafuegos con tráfico fantasma e inducir un DoS para la red a la
que protege
Provocar daños y robar datos de un host en una red protegida
Conseguir acceso a un host en una red protegida para obtener información
Lograr el control de un host para aprovechar otras vulnerabilidades
Apoderarse de un cortafuegos para controlar el acceso a la red a la que protege
ScreenOS ofrece herramientas de detección y defensa que permiten descubrir y
frustrar los esfuerzos de los hackers por alcanzar los objetivos mencionados
anteriormente cuando intentan atacar una red protegida con un dispositivo de
seguridad Juniper Networks.

2 Etapas de un ataque
Este capítulo proporciona una vista general de las principales etapas de un ataque y
de los diversos mecanismos de defensa que puede emplear para frustrar un ataque
en cualquier etapa:
“Etapas de un ataque” en esta página
“Mecanismos de detección y defensa” en esta página
“Supervisión de vulnerabilidades” en la página 5
Etapas de un ataque
Normalmente, los ataques se desarrollan en dos etapas principales. En la primera
etapa, el hacker recopila información; en la segunda etapa, lanza el ataque
propiamente dicho.
1. Realizar el reconocimiento.
a. Crear un mapa de la red y determinar qué hosts están activos (barrido de
direcciones IP).
b. Averiguar qué puertos están activos (análisis de puertos) en los hosts
detectados mediante barrido de direcciones IP.
c. Determinar el sistema operativo (OS), con lo que se puede revelar una
debilidad del OS o un tipo de ataque al que sea susceptible ese OS en
particular.
2. Lanzar el ataque.
a. Ocultar el origen del ataque.
b. Realizar el ataque.
c. Eliminar u ocultar las pruebas.
Mecanismos de detección y defensa
La explotación de una vulnerabilidad (exploit) puede ser un simple rastreador para
obtener información o un verdadero ataque con el que se pretende comprometer,
bloquear o dañar una red o un recurso de red. En algunos casos, no resulta sencillo
establecer una clara distinción entre estos dos objetivos. Por ejemplo, una barrera
de segmentos TCP SYN se puede utilizar como barrido de direcciones IP con el
propósito de desencadenar respuestas de los hosts activos o como un ataque de
asignación de grandes cantidades de paquetes simultáneos SYN con el objetivo de
colapsar una red para impedir su correcto funcionamiento. Es más, como los
hackers normalmente realizan un reconocimiento del objetivo antes de lanzar el
ataque, podemos considerar las actividades de recopilación de información como
precursoras de un ataque inminente e interpretar que constituyen la primera etapa
de un ataque. Por lo tanto, el término exploit abarca tanto las actividades de
reconocimiento como las de ataque y la distinción entre ambas no siempre es clara.

Mecanismos de detección y defensa 3
Capítulo 1: Protección de una red
Juniper Networks ofrece diversos métodos de detección y mecanismos de defensa a
nivel de directivas y de zona para combatir los ataques a vulnerabilidades en todas
sus etapas de ejecución:
Opciones SCREEN a nivel de zona
Las directivas del cortafuegos en los niveles de directivas interzonales,
intrazonales y (superzonales representan aquí las directivas globales, donde no
se hace referencia a las zonas de seguridad)
Para ofrecer protección contra todos los intentos de conexión, los dispositivos de
seguridad de Juniper Networks utilizan un método de filtrado de paquetes dinámico
conocido como inspección de estado. Mediante este método, el dispositivo de
seguridad detecta los diversos componentes del paquete IP y de los encabezados de
segmentos TCP (direcciones IP de origen y de destino, números de puertos de
origen y de destino y números de secuencias de paquetes) y mantiene el estado de
cada sesión TCP y seudo-sesión UDP que atraviese el cortafuegos. (El dispositivo
también modifica los estados de sesión basados en elementos cambiantes, como
cambios de puertos dinámicos o terminación de sesión). Cuando llega un paquete
TCP de respuesta, el dispositivo compara la información incluida en su encabezado
con el estado de la sesión asociada almacenada en la tabla de inspección. Si
coinciden, se permite que el paquete de respuesta atraviese el cortafuegos. De lo
contrario, el paquete se descarta.
Las opciones SCREEN de ScreenOS aseguran una zona al inspeccionar y luego
permitir o rechazar todo intento de conexión que necesite atravesar una interfaz
asociada a dicha zona. El dispositivo de seguridad aplica entonces directivas de
cortafuegos, que pueden contener componentes para el filtrado de contenidos y
para la detección y prevención de intrusiones (IDP), al tráfico que atraviesa los
filtros SCREEN.
Un cortafuegos de Juniper Networks proporciona los siguientes grupos de
mecanismos de defensa:
Bloqueo de reconocimiento
Barrido de direcciones IP
Análisis de puertos
NOTA: Aunque las zonas VLAN y MGT son zonas de función y no zonas de seguridad,
puede establecer opciones SCREEN para ellas. La zona VLAN admite el mismo
conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas
de seguridad de capa 2 admiten una opción adicional de asignación de grandes
cantidades de paquetes simultáneos SYN que las zonas de capa 3 no admiten:
descartar direcciones MAC desconocidas). Como las siguientes opciones SCREEN
no se aplican a la zona MGT, no están disponibles para dicha zona: protección
contra las asignaciones de grandes cantidades de paquetes simultáneos SYN,
protección contra las asignaciones de grandes cantidades de paquetes
simultáneos SYN-ACK-ACK del proxy, bloqueo de componentes HTTP y protección
contra ataques de WinNuke.

4 Mecanismos de detección y defensa
Sondeos del sistema operativo
Técnicas de evasión
Supervisión y filtrado de contenidos
Reensamblaje de fragmentos
Análisis antivirus
Filtrado anti-spam
Filtrado de Web
Inspección a fondo
Firmas completas
Anomalías en el protocolo
Bloqueo granular de los componentes de HTTP
Defensas contra los ataques de denegación de servicio (DoS)
Ataques de DoS contra el cortafuegos
Asignación de grandes cantidades de paquetes simultáneos de la tabla
de sesiones
Asignación de grandes cantidades de paquetes simultáneos del proxy
SYN-ACK-ACK
Ataques DoS contra la red
Asignación de grandes cantidades de paquetes simultáneos SYN
Asignación de grandes cantidades de paquetes simultáneos ICMP
Asignación de grandes cantidades de paquetes simultáneos UDP
Ataques de DoS específicos de cada sistema operativo
Ping of death
Ataque “Teardrop”
WinNuke
Atributos de los paquetes sospechosos
Fragmentos ICMP
Paquetes ICMP grandes
Opciones IP incorrectas

Supervisión de vulnerabilidades 5
Capítulo 1: Protección de una red
Protocolos desconocidos
Fragmentos de paquetes IP
Fragmentos SYN
Los ajustes de protección de red de ScreenOS operan en dos niveles: zona de
seguridad y directivas. El dispositivo de seguridad de Juniper Networks ofrece
defensas contra ataques DoS y medidas de bloqueo de reconocimiento a nivel de
zona de seguridad. En el área de supervisión y filtrado de contenidos, el dispositivo
de seguridad aplica un reensamblaje de fragmentos a nivel de zona y un análisis
antivirus (AV) y un filtrado de localizadores de recursos uniformes (URL) a nivel de
directivas. El dispositivo aplica IDP a nivel de directivas, excepto para la detección y
el bloqueo de componentes HTTP, que se realiza a nivel de zona. Los ajustes del
cortafuegos a nivel de zona son opciones SCREEN. Una opción de protección de red
establecida en una directiva es un componente de dicha directiva.
Supervisión de vulnerabilidades
Aunque normalmente se utiliza el dispositivo de seguridad para bloquear ataques a
vulnerabilidades, puede haber ocasiones en las que se desee obtener información
sobre ellos. Es posible que desee estudiar específicamente una vulnerabilidad
concreta para descubrir su intención, su nivel de sofisticación o incluso su origen (si
el hacker es descuidado o poco sofisticado).
Si desea obtener información sobre un ataque, puede dejar que actúe, supervisarlo,
analizarlo, investigarlo y reaccionar tal como se haya esbozado en un plan de
respuesta ante incidentes preparado con anterioridad. Puede configurar el
dispositivo de seguridad para que le notifique la existencia de un ataque, pero que,
en lugar de tomar medidas, permita que el ataque se filtre. En tal caso, podrá
estudiar qué ha ocurrido e intentar comprender el método, la estrategia y los
objetivos del hacker. Cuanto mejor comprenda las amenazas que acechan la red,
mejor podrá fortificar sus defensas. Aunque un hacker astuto puede ocultar su
ubicación e identidad, se puede averiguar suficiente información como para
determinar dónde se originó el ataque. Puede que también sea capaz de estimar las
habilidades del hacker. Este tipo de información le permitirá calcular su respuesta.
Ejemplo: Supervisión de ataques desde la zona Untrust
En este ejemplo, se han producido ataques de simulación de IP desde la zona
Untrust a diario, normalmente entre las 21:00 y las 0:00 horas. En lugar de
descartar los paquetes con las direcciones simuladas IP de origen, se desea que el
dispositivo de seguridad le notifique de su llegada, pero que le permita el paso,
quizás conduciéndolos a un sistema trampa (un servidor de red que se utiliza como
señuelo para atraer a los hackers y registrar sus movimientos durante un ataque)
que se ha conectado a la conexión de interfaz DMZ. A las 208:55 se modifica el
comportamiento del cortafuegos para que notifique y acepte los paquetes
pertenecientes a un ataque detectado en lugar de notificar y rechazarlos. Cada vez
que se produzca el ataque, podrá utilizar el sistema trampa para supervisar las
actividades del hacker después de que atraviese el cortafuegos. Puede trabajar
también en colaboración con el ISP de subida para comenzar a rastrear la
procedencia de los paquetes hasta su punto de origen.

6 Supervisión de vulnerabilidades
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos, luego haga
clic en Apply:
Generate Alarms without Dropping Packet: (seleccione)
IP Address Spoof Protection: (seleccione)
CLI
set zone untrust screen alarm-without-drop
set zone untrust screen ip-spoofing
save

7
Capítulo 2
Bloqueo de reconocimiento
Los hackers pueden planificar mejor sus ataques si antes conocen el diseño de la
red objetivo del ataque (qué direcciones IP tienen los hosts activos), los posibles
puntos de entrada (qué números de puertos están activos en los hosts activos) así
como la constitución de sus víctimas (qué sistema operativo se está ejecutando en
los hosts activos). Para obtener esta información es necesario realizar un
reconocimiento. Juniper Networks ofrece varias opciones SCREEN para frustrar los
intentos de reconocimiento de los hackers e impedir que obtengan información
valiosa sobre la red y los recursos de red protegidos.
“Barrido de direcciones IP” en la página 8
“Barrida de puertos” en la página 9
“Reconocimiento de red mediante opciones IP” en la página 10
“Sondeos del sistema operativo” en la página 12
“indicadores SYN y FIN activados” en la página 13
“Indicador FIN sin indicador ACK” en la página 14
“Encabezado TCP sin indicadores activados” en la página 15
“Técnicas de evasión” en la página 15
“Análisis FIN” en la página 16
“Indicadores no SYN” en la página 16
“Simulación de IP” en la página 20
“Opciones IP de ruta de origen” en la página 26

8 Barrido de direcciones IP
Barrido de direcciones IP
Se produce un barrido de direcciones cuando una dirección IP de origen envía 10
paquetes ICMP a distintos hosts en un intervalo definido (el valor predeterminado
es de 5000 microsegundos). La finalidad de esta acción es enviar paquetes ICMP
(normalmente peticiones de eco) a varios hosts con la esperanza de que al menos
uno responda, dejando al descubierto una dirección a la que apuntar. El dispositivo
de seguridad registra de forma interna el número de paquetes ICMP enviados a
diversas direcciones desde un origen remoto. Mediante los ajustes
predeterminados, si un host remoto envía tráfico ICMP a 10 direcciones en
0,005 segundos (5000 microsegundos), el dispositivo de seguridad lo marcará
como un ataque de barrido de direcciones y rechazará todas las peticiones de eco
de ICMP siguientes que procedan de dicho host hasta que transcurra el tiempo del
umbral especificado. El dispositivo detecta y descarta el décimo paquete que
cumple con los criterios de ataque de barrido de direcciones.
Figura 2: Barrido de direcciones
Estudie la activación de esta opción SCREEN para una zona de seguridad solamente
si existe una directiva que permita el tráfico ICMP procedente de dicha zona. De lo
contrario, no es necesario habilitarla. Si no existe tal directiva, se rechaza todo el
tráfico ICMP procedente de la zona, impidiendo a los hackers que realicen un
barrido de direcciones IP con éxito.
Para bloquear los barridos de direcciones IP originados en una zona de seguridad
en concreto, utilice una de las siguientes soluciones:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos, luego haga clic en Apply:
IP Address Sweep Protection: (seleccione)
Threshold: (introduzca un valor que active la protección contra barridos
de direcciones IP)
Origen: 2.2.2.5
(Probablemente una dirección
simulada o un agente zombie)
Nota: Después de recibir 10
paquetes ICMP, el dispositivo de
seguridad lo registra como un
barrido de direcciones IP y rechaza
el paquete decimoprimero.
El dispositivo de seguridad realiza una
entrada en su tabla de sesiones para
los 10 primeros paquetes ICMP
procedentes de 2.2.2.5 y realiza una
consulta de rutas y una consulta de
directivas para ellos. Si ninguna
directiva permite estos paquetes, el
dispositivo los marca como no válidos y
los elimina de la tabla de sesiones en el
siguiente “barrido de basura”, que se
realiza cada dos segundos. A partir del
décimo paquete, el dispositivo rechaza
todo el tráfico ICMP procedente de
2.2.2.5.
ethernet2
1.2.2.1/24
Untrust
Paquetes ICMP
Rechazado
ethernet3
1.1.1.1/24
Dir.
origen
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
2.2.2.5
Dir.
destino
1.2.2.5
1.2.2.160
1.2.2.84
1.2.2.211
1.2.2.10
1.2.2.20
1.2.2.21
1.2.2.240
1.2.2.17
1.2.2.123
1.2.2.6
11 paquetes ICMP
en 0,005 segundos
DMZ

Barrida de puertos 9
Capítulo 2: Bloqueo de reconocimiento
CLI
set zone zona screen port-scan threshold número
set zone zona screen ip-sweep
Barrida de puertos
Una barrida de puertos se produce cuando una dirección IP de origen envía
paquetes IP con segmentos TCP SYN a 10 puertos distintos de la misma dirección IP
de destino en un intervalo definido (el valor predeterminado es de
5000 microsegundos). La finalidad de este esquema es examinar los servicios
disponibles con la esperanza de que al menos un puerto responda, identificando un
servicio al cual dirigir su ataque. El dispositivo de seguridad registra de forma
interna el número de los diversos puertos analizados desde un origen remoto.
Mediante los ajustes predeterminados, si un host remoto examina 10 puertos en
0.005 segundos (5000 microsegundos), el dispositivo lo marcará como ataque de
barrida de puertos y rechazará todos los paquetes procedentes del origen remoto
hasta que transcurra el resto del tiempo de espera especificado. El dispositivo
detecta y descarta el décimo paquete que cumple con los criterios de un ataque de
barrida de puertos.
Figura 3: Barrida de puertos
NOTA: El valor se mide en microsegundos. El ajuste predeterminado es
5000 microsegundos.
Origen: 2.2.2.5
(Probablemente una dirección
simulada o un agente zombie)
Nota: A partir del décimo paquete IP
con segmentos TCP SYN destinado a
diversos puertos de la misma
dirección IP de destino, el dispositivo
de seguridad lo registra como una
barrida de puertos y rechaza todos
los paquetes procedentes de la
dirección de origen.
El dispositivo de seguridad realiza
una entrada en su tabla de
sesiones para los 10 primeros
intentos de conexión de 2.2.2.5 a
1.2.2.5 y realiza una consulta de
rutas así como una consulta de
directivas para ellos. Si ninguna
directiva permite estos intentos de
conexión, el dispositivo los marca
como no válidos y los elimina de la
tabla de sesiones en el siguiente
“barrido de basura”, que se realiza
cada dos segundos. A partir del
décimo intento, el dispositivo
rechaza todos los intentos de
conexión procedentes de 2.2.2.5.
ethernet2
1.2.2.1/24
Untrust
Paquetes IP con segmentos TCP
SYN
Rechazado
ethernet3
1.1.1.1/24
Dir
orig:puerto
2.2.2.5:17820
2.2.2.5:42288
2.2.2.5:22814
2.2.2.5:15401
2.2.2.5:13373
2.2.2.5:33811
2.2.2.5:17821
2.2.2.5:19003
2.2.2.5:26450
2.2.2.5:38087
2.2.2.5:24111
Dir dest:puert
1.2.2.5:21
1.2.2.160:23
1.2.2.84:53
1.2.2.211:80
1.2.2.10:111
1.2.2.20:113
1.2.2.21:123
1.2.2.240:129
1.2.2.17:137
1.2.2.123:138
1.2.2.6:139
11 segmentos SYN
en 0,005 segundos
DMZ
Destino: 1.2.2.5

10 Reconocimiento de red mediante opciones IP
Para bloquear la barrida de puertos originados en una zona de seguridad en
concreto, utilice una de las siguientes soluciones:
WebUI
Port Scan Protection: (seleccione)
Threshold: (introduzca un valor que active la protección contra la
barrida de puertos)
CLI
set zone zona screen port-scan threshold número
set zone zona screen port-scan
Reconocimiento de red mediante opciones IP
La norma RFC 791, Protocolo de Internet, especifica una serie de opciones que
ofrecen controles de enrutamiento, herramientas de diagnóstico y medidas de
seguridad especiales. Estas opciones aparecen después de la dirección de destino
en un encabezado de paquetes IP, tal y como se muestra en la Figura 4.
Figura 4: Opciones de enrutamiento
La norma RFC 791 establece que estas opciones “no son necesarias para las
comunicaciones más comunes” y, en realidad, rara vez aparecen en encabezados
de paquetes IP. Cuando aparecen, con frecuencia se colocan para algún uso
ilegítimo. La Tabla 1 enumera las opciones IP y sus atributos conjuntos.
Tabla 1: Opciones IP y atributos
NOTA: El valor se mide en microsegundos. El ajuste predeterminado es
5000 microsegundos.
Encabezado IP Tipo de servicio Longitud total del paquete (en bytes)
Identificación
Versión
Dirección de origen
ProtocoloTiempo de vida (TTL)
Dirección de destino
Longitud de
encabezado
0
Suma de comprobación del encabezado
D M
Opciones
Carga de datos
Desplazamiento del fragmento
Tipo Clase Número Longitud Uso intencionado Uso pernicioso
Fin de
opciones
01
0 0 Indica el fin de una o más opciones IP. Ninguno.
Sin opciones 0 1 0 Indica que no hay opciones IP en el
encabezado.
Ninguno.

Reconocimiento de red mediante opciones IP 11
Seguridad 0 2 11 bits Ofrece un medio para que los hosts envíen
seguridad, parámetros TCC (grupo de
usuarios cerrado) y códigos de restricción
de uso compatibles con los requisitos del
Ministerio de Defensa (DoD) de los
Estados Unidos. (Esta opción, según se
especifica en las normas RFC 791,
Protocolo de Internet y RFC 1038, Opción
de seguridad de IP revisada, está obsoleta).
Desconocido. Sin embargo, ya que
se trata de una opción obsoleta, su
presencia en un encabezado IP
resulta sospechosa.
Ruta de
origen
abierta
0 3 Variable Especifica una lista de rutas parcial que
debe tomar un paquete en su trayecto
desde el punto de origen al de destino. El
paquete debe avanzar en el orden de
direcciones especificado, pero se le
permite atravesar otros enrutadores
intermedios.
Evasión. El hacker puede utilizar
las rutas especificadas para ocultar
el verdadero origen de un paquete
o para obtener acceso a una red
protegida. (Consulte “Opciones IP
de ruta de origen” en la página 26).
Grabación de
ruta
0 7 Variable Registra las direcciones IP de los
dispositivos de red del itinerario que
recorre el paquete IP. El equipo de destino
puede extraer y procesar la información
de ruta. (Debido a la limitación de espacio
de 40 bytes tanto para la opción como
para el espacio de almacenamiento, sólo
se puede registrar un máximo de
9 direcciones IP).
Reconocimiento. Si el host de
destino es un equipo
comprometido bajo el control del
hacker, éste puede obtener
información sobre la topología y el
esquema de direccionamiento de la
red atravesada por el paquete.
Identificación
de secuencia
0 8 4 bits (Obsoleta) Ofrecía un medio para que el
identificador de secuencia SATNET de
16 bits se transportara por redes
incompatibles con el concepto de
secuencia.
Desconocido. Sin embargo, ya que
se trata de una opción obsoleta, su
presencia en un encabezado IP
resulta sospechosa.
Ruta de
origen
estricta
0 9 Variable Especifica la lista de la ruta completa que
debe tomar un paquete en su trayecto
desde el punto de origen al de destino. La
última dirección de la lista sustituye a la
dirección del campo de destino.
Evasión. Un hacker puede utilizar
las rutas especificadas para ocultar
el verdadero origen de un paquete
o para obtener acceso a una red
protegida. (Consulte “Opciones IP
de ruta de origen” en la página 26).
Marca de
hora
22 4 Registra la hora (en formato de horario
universal3
) en la que cada dispositivo de
red recibe el paquete durante su trayecto
desde el punto de origen al de destino. Los
dispositivos de red se identifican por su
número IP.
Esta opción desarrolla una lista de
direcciones IP de los enrutadores del
itinerario del paquete y la duración de
transmisión entre cada uno de ellos.
Reconocimiento. Si el host de
destino es un equipo
comprometido bajo el control del
hacker, éste puede obtener
información sobre la topología y el
esquema de direccionamiento de la
red atravesada por el paquete.
1.La clase de opciones identificada como “0” estaba diseñada para proporcionar control de red o paquetes adicionales.
2.La clase de opciones identificada como “2” se diseñó para el diagnóstico, la depuración y la medición.
3.La marca de hora utiliza el número de milisegundos desde la media noche en horario universal (UT). Este horario también se
denomina “horario medio de Greenwich” (GMT) y es la base para la norma horaria internacional.
Tipo Clase Número Longitud Uso intencionado Uso pernicioso

12 Sondeos del sistema operativo
Las siguientes opciones SCREEN detectan las opciones IP que un hacker puede
utilizar para el reconocimiento o cualquier otra finalidad desconocida, pero
sospechosa:
Grabación de ruta: El dispositivo de seguridad detecta paquetes en los cuales
la opción IP es 7 (Record Route) y registra el evento en la lista de contadores
SCREEN para la interfaz de entrada.
Marca de hora: El dispositivo de seguridad detecta paquetes en los que la lista
de opciones IP incluye la opción 4 (Internet Timestamp) y registra el evento en
la lista de contadores SCREEN para la interfaz de entrada.
Seguridad: El dispositivo de seguridad detecta paquetes en los cuales la opción
IP es 2 (security) y registra el evento en la lista de contadores SCREEN para la
interfaz de entrada.
Identificador de secuencia: El dispositivo de seguridad detecta paquetes en los
cuales la opción IP es 8 (Stream ID) y registra el evento en la lista de contadores
SCREEN para la interfaz de entrada.
Para detectar paquetes con las opciones IP anteriores establecidas, utilice uno de los
siguientes métodos (la zona de seguridad especificada es la zona en la que se
originó el paquete):
WebUI
IP Record Route Option Detection: (seleccione)
IP Timestamp Option Detection: (seleccione)
IP Security Option Detection: (seleccione)
IP Stream Option Detection: (seleccione)
CLI
set zone zona screen ip-record-route
set zone zona screen ip-timestamp-opt
set zone zona screen ip-security-opt
set zone zona screen ip-stream-opt
Sondeos del sistema operativo
Antes de lanzar un ataque, es posible que un hacker intente sondear el host al que
se dirige el ataque para averiguar qué sistema operativo (OS) utiliza. Al tener
conocimiento de este dato, el hacker puede decidir con mejor criterio qué ataque
lanzar y qué vulnerabilidades aprovechar. Un dispositivo de seguridad de Juniper
Networks puede bloquear los sondeos de reconocimiento utilizados habitualmente
para obtener información sobre los tipos de OS.

Sondeos del sistema operativo 13
indicadores SYN y FIN activados
Los indicadores de control SYN y FIN no están activados normalmente en el mismo
encabezado de segmento TCP. El indicador SYN sincroniza números de secuencia
para el inicio de una conexión TCP. El indicador FIN señala el final de la transmisión
de datos para la terminación de una conexión TCP. Sus finalidades se excluyen
mutuamente. Un encabezado TCP con los indicadores SYN y FIN activados
representa un comportamiento TCP anómalo y puede provocar varias respuestas
del destinatario en función del OS. Consulte la Figura 5.
Figura 5: Encabezado TCP con indicadores SYN y FIN establecidos
Un hacker puede enviar un segmento con ambos indicadores (o “flags”) activados
para ver el tipo de respuesta de sistema que se devuelve y determinar de este modo
qué tipo de OS se utiliza en el punto de destino. A continuación, el hacker puede
emplear cualquier vulnerabilidad conocida del sistema para futuros ataques.
Cuando se habilita esta opción SCREEN, el dispositivo de seguridad comprueba si
los indicadores SYN y FIN están activados en encabezados TCP. Si descubre un
encabezado de tales características, descarta el paquete.
Para bloquear paquetes con los indicadores SYN y FIN activados, utilice uno de los
siguientes métodos (la zona de seguridad especificada es la zona en la que se
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN
and FIN Bits Set Protection y haga clic en Apply.
CLI
set zone zona screen syn-fin
Suma de comprobación de TCP 16 bits
Número de puerto de destino de 16 bits
Encabezado
TCP
Número de reconocimiento de 32 bits
Tamaño de ventana de 16 bits
U
R
Número de puerto de origen de 16 bits
Los indicadores SYN y FIN están activados.
Número de secuencia de 32 bits
Reservado
Opciones (si las hay)
Datos (si los hay)
Puntero urgente 16 bits
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
Tamaño de
encabezado

14 Sondeos del sistema operativo
Indicador FIN sin indicador ACK
La Figura 6 muestra los segmentos TCP con el indicador de control FIN activado
(para señalar la conclusión de una sesión y terminar la conexión). Normalmente,
los segmentos TCP con el indicador FIN activado tienen también el indicador ACK
activado (para acusar recibo del anterior paquete recibido). Como la existencia de
un encabezado TCP con el indicador FIN activado y el indicador ACK desactivado
representa un indicio de comportamiento TCP anómalo, no existe una respuesta
uniforme ante este hecho. Es posible que el OS reaccione enviando un segmento
TCP con el indicador RST activado. También es posible que lo ignore
completamente. La respuesta de la víctima puede proporcionar al hacker
información sobre el OS. (Otras finalidades para enviar un segmento TCP con el
indicador FIN activado pueden ser evadir la detección durante una barrida de
puertos y direcciones o burlar las defensas destinadas a prevenir una asignación de
grandes cantidades de paquetes simultáneos SYN provocando una signación de
grandes cantidades de paquetes simultáneos FIN en su lugar. Para obtener más
información sobre los análisis FIN, consulte “Análisis FIN” en la página 16).
Figura 6: Encabezado TCP con indicador FIN activado
Cuando se habilita esta opción SCREEN, el dispositivo de seguridad comprueba si el
indicador FIN está activado y el indicador ACK está desactivado en los encabezados
TCP. Si descubre un paquete con este tipo de encabezado, descarta el paquete.
Para bloquear paquetes con el indicador FIN activado y el indicador ACK
desactivado, utilice uno de los siguientes métodos (la zona de seguridad
especificada es la zona en la que se originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FIN Bit
with No ACK Bit in Flags Protection y haga clic en Apply.
CLI
set zone zona screen fin-no-ack
NOTA: Los proveedores han interpretado la norma RFC 793, Protocolo de control de
transmisiones de diversas formas a la hora de diseñar las implementaciones
TCP/IP. Cuando se recibe un segmento TCP con el indicador FIN activado y el
indicador ACK sin activar, algunas implementaciones envían segmentos RST.
Otras descartan el paquete sin enviar ningún segmento RST.
Número de puerto de destino de 16 bitsEncabezado
TCP
U
R
Sólo está activado el indicador FIN.
Reservado
Datos (si los hay)
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
Tamaño de
encabezado
4 bits
F
I
N

Técnicas de evasión 15
Encabezado TCP sin indicadores activados
Un encabezado de segmento TCP normal tiene al menos un indicador de control
activado. Un segmento TCP sin indicadores de control activados representa un
evento anómalo. Puesto que cada sistema operativo reacciona de forma distinta a
tal anomalía, la respuesta (o la falta de respuesta) del dispositivo objetivo puede dar
indicios del tipo de OS que se está ejecutando. Consulte la Figura 7.
Figura 7: Encabezado TCP sin indicadores activado
Cuando se habilita el dispositivo de seguridad para detectar encabezados de
segmento TCP sin indicadores activados, el dispositivo descartará todos los
paquetes TCP que carezcan de un campo de indicador o que tengan un campo de
indicador mal formado.
Para bloquear los paquetes que no tengan ningún indicador activado, utilice uno de
los siguientes métodos (la zona de seguridad especificada es la zona en la que se
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCP
Packet without Flag Protection y haga clic en Apply.
CLI
set zone zona screen tcp-no-flag
Técnicas de evasión
Ya sea mientras recopila información o lanza un ataque, lo normal es que el hacker
evite que lo detecten. Aunque ciertas barridas de puertos y direcciones IP son tan
descaradas que se pueden detectar fácilmente, algunos hackers con mayores
recursos utilizan una gran cantidad de medios para ocultar sus actividades. Técnicas
tales como la utilización de análisis FIN en lugar de análisis SYN, que los hackers
saben que la mayoría de cortafuegos y programas de detección de intrusiones
detectan, indican una evolución en las técnicas de reconocimiento y
aprovechamiento de vulnerabilidades con la finalidad de eludir la detección y llevar
a cabo sus acciones.
Número de puerto de destino de 16 bits
U
R
No hay ningún indicador activado.
Reservado
Datos (si los hay)
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
Tamaño de
encabezado
4 bits
Encabezado TCP

16 Técnicas de evasión
Análisis FIN
Un análisis FIN envía segmentos TCP con el indicador FIN activado para intentar
provocar una respuesta (un segmento TCP con el indicador RST activado) y así
descubrir un host activo o un puerto activo en un host. El hacker puede utilizar este
método no para realizar un barrido de direcciones con peticiones de eco ICMP o un
análisis de direcciones con segmentos SYN, sino porque sabe que muchos
cortafuegos se defienden contra estos dos últimos, pero no necesariamente contra
los segmentos FIN. Si se utilizan segmentos TCP con el indicador FIN activado se
puede evadir la detección, permitiendo así que el hacker tenga éxito en su intento
de reconocimiento.
Para frustrar un análisis FIN, puede ejecutar cualquiera de las siguientes acciones o
ambas:
Habilitar la opción SCREEN que bloquea específicamente segmentos TCP con el
indicador FIN activado, pero no el indicador ACK, lo que no es normal en un
segmento TCP.
WebUI: Screening > Screen: Seleccione la zona a la que desea aplicar esta
opción SCREEN en la lista desplegable “Zone” y seleccione FIN Bit With No
ACK Bit in Flags Protection.
CLI: Introduzca set zone nombre screen fin-no-ack, donde nombre se
refiere a la zona a la que desee aplicar esta opción de SCREEN.
Cambie el comportamiento de procesamiento de paquetes para rechazar todos
los paquetes no SYN que no pertenezcan a una sesión existente, mediante el
comando CLI: set flow tcp-syn-check. (Para obtener más información sobre la
comprobación del indicador SYN, consulte la siguiente sección, “Indicadores no
SYN” en la página 16.)
Indicadores no SYN
De forma predeterminada, el dispositivo de seguridad revisa si hay indicadores SYN
en el primer paquete de una sesión y rechaza cualquier segmento TCP que tenga
indicadores que no sean SYN intentando iniciar una sesión. Puede dejar fluir este
paquete tal y como está o cambiarlo para que el dispositivo no utilice la revisión de
indicador SYN antes de crear una sesión. La Figura 8 en la página 17 muestra las
secuencias del flujo de paquete cuando está habilitada la revisión del indicador SYN
y cuando está desactivada.
NOTA: El cambio del flujo de paquetes para comprobar que el indicador SYN está
activado para los paquetes que no pertenecen a sesiones existentes, también
frustra otros tipos de análisis no SYN, tales como los análisis nulos (“null scan”, es
decir, cuando no hay ningún indicador de TCP activo).

Figura 8: Comprobación de indicador SYN
Cuando el dispositivo de seguridad con la comprobación de indicador SYN
habilitada recibe un segmento de TCP que no es SYN y no pertenece a una sesión
existente, éste descarta el paquete y envía el host de origen a TCP RST, a menos que
el bit de código de un paquete TCP que no es SYN inicial, también sea RST. En ese
caso, el dispositivo de seguridad sencillamente descarta el paquete.
Puede habilitar y deshabilitar la comprobación de SYN con los siguientes comandos
CLI:
set flow tcp-syn-check
unset flow tcp-syn-check
NOTA: De forma predeterminada, la revisión del indicador TCP SYN en el paquete inicial
de una sesión está habilitada cuando se instala el dispositivo de seguridad de
Juniper Networks con ejecución de ScreenOS 5.1.0 o superior. Si se actualiza de
una versión anterior a ScreenOS 5.1.0, la revisión SYN permanece desactivada de
forma predeterminada, a menos que haya cambiado previamente el
comportamiento predeterminado.
Estos flujos de paquete son los mismos ya sea que la interfaz de entrada esté
operando en la capa 3 (modo de ruta o NAT) o en la capa 2 (modo transparente).
Consulta de
sesiones
Actualización
de sesión REDIRECCIONAMIENTO
En
sesión
Permis Sí
REDIRECCIONAMIENTO
Creación
de sesión
Comprobación
de indicador
SYN
Con la comprobación de indicador SYN habilitada
No en
sesión
Rechazado No
DESCARTARDESCARTAR
Consultade
directivas
El paquete llega a la
interfaz de entrada
Consultade
sesiones
Actualización
de sesión
REDIRECCIONAMIENTO
En
sesión
Permis Creación
de sesión
No en
sesión
Rechazado
DESCARTAR
Consulta de
directivas
El paquete llega a
REDIRECCIONAMIENTO
Con la comprobación de indicador SYN inhabilitada

La opción de no comprobar el indicador SYN en los primeros paquetes ofrece las
siguientes ventajas:
NSRP con enrutamiento asimétrico: En una configuración NSRP activa/activa
en un entorno de enrutamiento dinámico, un host puede enviar el segmento
inicial TCP con el indicador SYN activado a un dispositivo de seguridad
(dispositivo A), pero la señal SYN/ACK podría enrutarse al otro dispositivo de
seguridad del clúster (dispositivo B). Si este enrutamiento asimétrico se
produce después de que el dispositivo A haya sincronizado su sesión con el
dispositivo B, todo está en orden. Por el contrario, si la respuesta SYN/ACK llega
al dispositivo B antes de que el dispositivo A haya sincronizado la sesión y la
comprobación de SYN está habilitada, el dispositivo B rechaza SYN/ACK, lo que
impide establecer la sesión. Con la comprobación de SYN inhabilitada, el
dispositivo B acepta la respuesta SYN/ACK (aunque no pertenezca a ninguna
sesión existente) y crea para ella una nueva entrada en la tabla de sesiones.
Sesiones no interrumpidas: Si la comprobación de SYN está habilitada y se
agrega un dispositivo de seguridad en modo transparente a una red operativa,
se interrumpen todas las sesiones existentes y por lo tanto deberán reiniciarse.
Esta interrupción puede ser muy molesta para sesiones muy largas, como las
de transferencias de datos o las de copias de seguridad de grandes bases de
datos. De forma similar, si se restablece el dispositivo de seguridad o incluso si
se cambia un componente en la sección central de una directiva y la
comprobación de SYN está habilitada, todas las sesiones existentes (o las
sesiones a las que afecte la modificación de la directiva) se interrumpirán y
deberán reiniciarse. Inhabilitar la comprobación de SYN evita esas
interrupciones al tráfico de la red.
Sin embargo, observe que las ventajas anteriores requieren los siguientes sacrificios
en seguridad:
Agujeros de reconocimiento: Cuando un segmento TCP inicial con un
indicador no SYN (como ACK, URG, RST, FIN) llega a un puerto cerrado,
muchos sistemas operativos (Windows, por ejemplo) responden con un
segmento TCP cuyo indicador RST está activado. Si el puerto está abierto, el
receptor no genera ninguna respuesta.
NOTA: Una solución a esta situación es instalar el dispositivo de seguridad con la
comprobación de SYN inicialmente inhabilitada. Luego, después de unas pocas
horas, cuando las sesiones establecidas se estén ejecutando a través del
dispositivo, habilite la comprobación de SYN.
La sección central de una directiva contiene los siguientes componentes
principales: zonas de origen y de destino, direcciones de origen y de destino, uno
o más servicios y una acción.

Al analizar las respuestas o la ausencia de éstas, un recopilador de inteligencia
puede realizar un reconocimiento en la red protegida y también en el conjunto
de directivas de ScreenOS. Si después envía un segmento TCP con un indicador
no SYN activado y la directiva le permite el paso, el host de destino del
segmento podría descartarlo y responder con un segmento TCP cuyo indicador
RST esté activado. Tal respuesta informa al intruso sobre la presencia de un
host activo en una dirección específica y le indica que el número de puerto de
destino está cerrado. El recopilador de inteligencia también averigua que la
directiva del cortafuegos permite acceder a ese número de puerto en ese host.
Con la comprobación del indicador SYN habilitada, el dispositivo de seguridad
descarta los segmentos TCP que no tengan indicador SYN siempre que no
pertenezcan a una sesión existente. El dispositivo no devolverá un segmento
TCP RST. Por lo tanto, el escáner no obtendrá ninguna respuesta, sea cual sea el
conjunto de directivas o si el puerto está abierto o cerrado en el host de destino.
Asignaciones de grandes cantidades de paquetes simultáneos de tablas de
sesiones: Si la comprobación de SYN está inhabilitada, un hacker puede evitar
la función de protección contra la asignación de grandes cantidades de
paquetes simultáneos SYN de ScreenOS al asignar una red protegida con una
cantidad ingente de segmentos TCP que tengan indicadores no SYN activados.
Aunque los hosts atacados descartarán los paquetes (y posiblemente envíen
segmentos TCP RST como respuesta), tal asignación de grandes cantidades de
paquetes simultáneos podría llenar la tabla de sesiones del dispositivo de
seguridad. Con la tabla de sesiones llena, el dispositivo no puede procesar
nuevas sesiones de tráfico legítimo.
Al habilitar la comprobación de SYN y la protección contra las asignaciones de
grandes cantidades de paquetes simultáneos SYN, podrá frustrar esta clase de
ataques. Al revisar que el indicador SYN está activado en el paquete inicial de
una sesión se obliga a todas las nuevas sesiones a comenzar con un segmento
TCP que tenga el indicador SYN activado. A continuación, la protección contra
las asignaciones de grandes cantidades de paquetes simultáneos SYN limita el
número de segmentos TCP SYN por segundo para evitar saturaciones en la
tabla de sesiones.
Si no necesita desactivar la comprobación de SYN, Juniper Networks le recomienda
que esté habilitada (su estado predeterminado para una instalación inicial de
ScreenOS). Puede habilitarla con el siguiente comando: set flow tcp-syn-check.
Con la comprobación de SYN habilitada, el dispositivo de seguridad rechaza los
segmentos TCP con indicadores que no son SYN activados, salvo que pertenezcan a
una sesión establecida.
NOTA: Para obtener información sobre las asignaciones de grandes cantidades de
paquetes simultáneos de la tabla de sesiones, consulte “Inundaciones de la tabla
de sesiones” en la página 30. Para obtener información sobre las asignaciones de
grandes cantidades de paquetes simultáneos SYN de la tabla de sesiones, consulte
“Inundaciones SYN” en la página 37.

Simulación de IP
Un método para intentar acceder a un área restringida de la red es insertar una
dirección de origen fantasma en el encabezado del paquete para que éste parezca
que procede de un lugar de origen fiable. Esta técnica se conoce como simulación
de IP (IP Spoofing). Para detectar esta técnica, ScreenOS dispone de dos métodos
con el mismo objetivo: determinar si el paquete procede de una ubicación distinta a
la indicada en el encabezado. El método que utiliza el dispositivo de seguridad de
Juniper Networks depende de si funciona en la capa 3 o en la capa 2 del modelo
OSI.
Capa 3: cuando las interfaces del dispositivo de seguridad funcionan en modo
de ruta o en modo NAT, el mecanismo para detectar la simulación de IP
dependerá de las entradas de la tabla de rutas. Si, por ejemplo, un paquete con
la dirección IP de origen 10.1.1.6 llega a ethernet3, pero el dispositivo de
seguridad tiene una ruta a 10.1.1.0/24 a través de ethernet1, la comprobación
de simulación de IP detectará que esta dirección ha llegado a una interfaz no
válida, ya que según la definición de la tabla de rutas un paquete válido
procedente de 10.1.1.6 sólo puede llegar a través de ethernet1, no de
ethernet3. Así, el dispositivo concluye que el paquete es una dirección IP de
origen simulada y la descarta.
Figura 9: Simulación de IP de la capa 3
Si la dirección IP de origen de un paquete no aparece en la tabla de rutas, el
dispositivo de seguridad permite su paso de forma predeterminada (asumiendo
que existe una directiva que lo permite). Si utiliza el siguiente comando CLI (en
donde la zona de seguridad especificada es la zona de donde proceden los
paquetes), puede hacer que el dispositivo de seguridad descarte cualquier
paquete cuya dirección IP de origen no esté incluida en la tabla de rutas:
set zone zona screen ip-spoofing drop-no-rpf-route
X
Un paquete IP llega a ethernet3.
Su dirección IP de origen es 10.1.1.6.
1.
3.
2.
Paquete IP con IP de origen 10.1.1.6
Si al consultar la tabla de rutas
observa que 10.1.1.6 no es una
dirección IP de origen válida para
un paquete que llega a ethernet3, el
dispositivo rechazará el paquete.
Como la protección contra simulación de IP está
habilitada en la zona Untrust, el dispositivo
comprueba si 10.1.1.6 es una dirección IP de origen
válida para los paquetes que llegan a ethernet3.
Zona Trust
Zona Untrust
ethernet3
1.1.1.1/24
ethernet1
10.1.1.1/24
Subred: 10.1.1.0/24
Tabla de rutas
ID
1
IP-Prefijo
10.1.10/24
Interfaz
eth 1
Puerta de enlace
0.0.0.0
P
C

Capa 2: si las interfaces del dispositivo de seguridad funcionan en modo
transparente, el mecanismo de comprobación de simulación de IP utilizará las
entradas de la libreta de direcciones. Por ejemplo, ha definido una dirección
para “serv A” como 1.2.2.5/32 en la zona V1-DMZ. Si un paquete con la
dirección IP de origen 1.2.2.5 llega a una interfaz de la zona V1-Untrust
(ethernet3), la comprobación de simulación de IP detectará que esta dirección
ha llegado a una interfaz incorrecta. La dirección pertenece a la zona V1-DMZ y
no a la zona V1-Untrust, por lo que sólo se aceptaría en ethernet2, que es la
interfaz asociada a V1-DMZ. El dispositivo concluye que el paquete tiene una
dirección IP de origen simulada y la descarta.
Figura 10: Simulación de IP de la capa 2
Tenga cuidado al definir direcciones para la subred que abarca múltiples zonas
de seguridad. En la Figura 10, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust
como a la zona V1-DMZ. Si configura el dispositivo de seguridad tal y como se
describe a continuación, bloqueará el tráfico procedente de la zona V1-DMZ
cuyo paso desea permitir:
Defina una dirección para 1.2.2.0/24 en la zona V1-Untrust.
Tenga una directiva que permita el tráfico desde cualquier dirección de la
zona V1-DMZ hacia cualquier dirección de la zona V1-Untrust (set policy
from v1-dmz to v1-untrust any any any permit).
Habilite la comprobación de simulación de IP.
Como las direcciones de la zona V1-DMZ también se encuentran en la subred
1.2.2.0/24, cuando el tráfico procedente de esas direcciones llegue a ethernet2,
la comprobación de simulación de IP consultará la libreta de direcciones y
encontrará 1.2.2.0/24 en la zona V1-Untrust. En consecuencia, el dispositivo de
seguridad bloqueará el tráfico.
Un paquete IP llega de la zona
V1-Untrust. Su dirección IP de origen es
1.2.2.5.
1.
3.
2.
Paquete IP con IP de origen 1.2.2.5
Si al consultar la libreta de
direcciones observa que
1.2.2.5 no es una dirección IP
de origen válida para un
paquete procedente de la zona
V1-Untrust, el dispositivo
rechazará el paquete.
Debido a que la protección contra simulación de IP
está habilitada en la zona Untrust V1, el dispositivo
comprueba si 1.2.2.5 es una dirección IP de origen
válida para el paquete que llega de la zona Untrust V1.
Zona V1-DMZ
Zona V1-Untrust
ethernet3
0.0.0.0/0
ethernet2
0.0.0.0/0
Subred: 1.2.2.0/24
Nombre de zona de dirección: V1-DMZ
serv A
Nombre
1.2.2.5
Dirección Máscara de red
255.255.255.255
C
serv A

Ejemplo: Protección contra simulación de IP en la capa 3
En este ejemplo habilitará la protección contra simulación de IP en las zonas Trust,
DMZ y Untrust para un dispositivo de seguridad de Juniper Networks que funciona
en la capa 3. De forma predeterminada el dispositivo realiza entradas
automáticamente en la tabla de rutas para las subredes especificadas en las
direcciones IP de interfaz. Además de estas entradas automáticas en la tabla de
rutas, deberá introducir manualmente las siguientes tres rutas que se muestran en
la siguiente tabla:
Si habilita la opción SCREEN para protección contra simulación de IP pero no indica
estas tres rutas, el dispositivo descartará todo tráfico de las direcciones que
aparecen en la columna Destino e insertará las alarmas correspondientes en el
registro de eventos. Por ejemplo, si un paquete con la dirección de origen 10.1.2.5
llega a ethernet1 y no hay ninguna ruta a la subred 10.1.2.0/24 a través de
ethernet1, el dispositivo determinará que ese paquete ha llegado a una interfaz no
válida y lo descartará.
Todas las zonas de seguridad de este ejemplo se encuentran en el dominio de
enrutamiento trust-vr.
Figura 11: Ejemplo de la simulación de IP de la capa 3
Destino Interfaz de salida Siguiente puerta de enlace
10.1.2.0/24 ethernet1 10.1.1.250
1.2.3.0/24 ethernet2 1.2.2.250
0.0.0.0/0 ethernet3 1.1.1.250
10.1.2.0/24
Enrutador
1.1.1.250
Zona
DMZ
Zona Untrust
ethernet2
1.2.2.1/24
1.2.3.0/24
1.2.2.0/24
Zona Trust
10.1.1.0/24
ethernet1
10.1.1.1/24
ethernet3
1.1.1.1/24
Enrutador
10.1.1.250
1.1.1.0/24 0.0.0.0/0
Enrutador
1.2.2.250

WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos,
luego haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: DMZ
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
2. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 10.1.1.250

3. Protección contra simulación de IP
Screening > Screen (Zone: Trust): Seleccione IP Address Spoof Protection y
haga clic en Apply.
Screening > Screen (Zone: DMZ): Seleccione IP Address Spoof Protection y
haga clic en Apply.
Screening > Screen (Zone: Untrust): Seleccione IP Address Spoof Protection y
haga clic en Apply.
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dmz
set interface ethernet3 zone untrust
2. Rutas
set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250
set zone trust screen ip-spoofing
set zone dmz screen ip-spoofing
set zone untrust screen ip-spoofing
save
Ejemplo: Protección contra simulación de IP en la capa 2
En este ejemplo protegerá la zona V1-DMZ contra la simulación de IP en el tráfico
originado en la zona V1-Untrust. En primer lugar debe definir las siguientes
direcciones para los tres servidores Web de la zona V1-DMZ:
servA: 1.2.2.10
servB: 1.2.2.20
servC: 1.2.2.30
Ahora puede habilitar la protección en la zona V1-Untrust.
Si un hacker en la zona V1-Untrust intenta simular la dirección IP de origen
utilizando cualquiera de las tres direcciones de la zona V1-DMZ, el dispositivo de
seguridad comprobará la dirección comparándola con las direcciones de las libretas
de direcciones. Cuando descubra que la dirección IP de origen de un paquete
procedente de la zona V1-Untrust pertenece a una dirección definida en la zona
V1-Untrust, el dispositivo rechazará el paquete.

WebUI
1. Direcciones
Address Name: servA
Zone: V1-DMZ
Address Name: servB
Zone: V1-DMZ
Address Name: servC
Zone: V1-DMZ
Screening > Screen (Zone: V1-Trust): Seleccione IP Address Spoof Protection y
haga clic en Apply.
CLI
1. Direcciones
set address v1-dmz servA 1.2.2.10/32
set address v1-dmz servB 1.2.2.20/32
set address v1-dmz servC 1.2.2.30/32
set zone v1-untrust screen ip-spoofing
save

Opciones IP de ruta de origen
El enrutamiento de origen se diseñó para que, desde el origen de una transmisión
de paquetes IP, el usuario pueda especificar las direcciones IP de los enrutadores
(también conocidos como “saltos”) a lo largo de la ruta que desee que un paquete IP
siga para llegar a su destino. La intención original de las opciones IP de ruta de
origen era ofrecer herramientas de control de enrutamiento como ayuda al análisis
de diagnósticos. Por ejemplo, si la transmisión de un paquete a un destino en
particular se realiza con un nivel de éxito irregular, puede utilizar la opción IP de
marca de hora o de grabación de ruta para averiguar las direcciones de los
enrutadores del itinerario o los itinerarios seguidos por el paquete. Luego, puede
utilizar la opción de ruta de origen estricta o de ruta de origen abierta para conducir
el tráfico por un itinerario específico, utilizando las direcciones averiguadas
mediante la opción IP de marca de hora o de grabación de ruta. Al cambiar las
direcciones de enrutador para cambiar el itinerario y enviar diversos paquetes por
distintos itinerarios, puede observar los cambios que contribuyen a aumentar o
reducir las posibilidades de éxito. Mediante el análisis y un proceso de eliminación,
es posible que pueda deducir dónde reside el problema.
Figura 12: Ruta de origen IP
Aunque la aplicación de las opciones IP de ruta de origen era buena originalmente,
los hackers han aprendido a utilizar estas opciones con malas intenciones. Las
opciones IP de ruta de origen se pueden emplear para ocultar la dirección auténtica
del hacker y acceder a áreas restringidas de una red especificando una ruta distinta.
A continuación se incluye un ejemplo en el que se muestra cómo un hacker puede
poner en práctica estos engaños, como se muestra en la Figura 13.
Opciones IP de ruta de
origen para diagnóstico
Cuatro
enrutadores
Itinerario del paquete
La transmisión de A a B mediante los
enrutadores 1 y 3 se realiza con éxito el
50% de las ocasiones.
Mediante el enrutamiento de origen IP, A envía
tráfico a través de los enrutadores 2 y 3. La
transmisión de A a B se realiza con éxito el
50% de las ocasiones.
Mediante el enrutamiento de origen IP, A envía
tráfico a través de los enrutadores 1 y 4. La
transmisión de A a B se realiza con éxito el 100%
de las ocasiones. Por lo tanto, podemos suponer
que el problema reside en el enrutador 3.
1
2
3
4
4
4
3
3
2
2
1
1
A B
B
BA
A

Figura 13: Opción IP de ruta de origen abierta para un engaño
El dispositivo de seguridad de Juniper Networks sólo permite el tráfico 2.2.2.0/24 si
pasa a través de ethernet1, una interfaz asociada a la zona Untrust. Los enrutadores
3 y 4 hacen cumplir los controles de acceso, pero los enrutadores 1 y 2 no los hacen
cumplir. Además, el enrutador 2 no comprueba la posible simulación de IP. El
hacker suplanta la dirección de origen y, al utilizar la opción de ruta de origen
abierta, dirige el paquete a través del enrutador 2 hasta la red 2.2.2.0/24 y, desde
allí, al enrutador 1. Éste redirecciona el paquete al enrutador 3, que a su vez lo
redirecciona al dispositivo de seguridad. Como el paquete procede de la subred
2.2.2.0/24 y contiene una dirección de origen de esa subred, aparece como válido.
Sin embargo, hay algo clave que aún no cuadra: la opción de ruta de origen abierta.
En este ejemplo, ha habilitado la opción SCREEN “Deny IP Source Route Option”
para la zona Untrust. Cuando el paquete llega a ethernet3, el dispositivo lo rechaza.
El dispositivo de seguridad se puede habilitar para que bloquee cualquier paquete
con opciones de ruta de origen abierta o estricta o para que los detecte y luego
registre el evento en la lista de contadores para la interfaz de entrada.
A continuación se ofrecen las opciones SCREEN:
Deny IP Source Route Option: Habilite esta opción para bloquear todo el
tráfico IP que emplee la opción de rutas de origen abierta o estricta. Las
opciones de ruta de origen pueden llegar a permitir a un hacker entrar en una
red con una dirección IP falsa.
Detect IP Loose Source Route Option: El dispositivo de seguridad detecta
paquetes en los que la opción IP es 3 (Loose Source Routing) y registra el evento
en la lista de contadores SCREEN para la interfaz de entrada. Esta opción
especifica una lista de rutas parcial que debe tomar un paquete en su trayecto
desde el punto de origen al de destino. El paquete debe avanzar en el orden de
direcciones especificado, pero se le permite pasar por otros enrutadores.
Detect IP Strict Source Route Option: El dispositivo de seguridad detecta
paquetes en los que la opción IP es 9 (Strict Source Routing) y registra el evento
en la lista de contadores SCREEN para la interfaz de entrada. Esta opción
especifica la lista de rutas completa que debe tomar un paquete en su trayecto
desde el punto de origen al de destino. La última dirección de la lista sustituye a
la dirección del campo de destino.
(Para obtener más información sobre todas las opciones IP, consulte
“Reconocimiento de red mediante opciones IP” en la página 10).
Sin comprobación de
simulación de IP
Sin control de acceso
Cuatro
enrutadores
Itinerario del paquete
10.1.1.0/24
1
2
3
4
Información del paquete
Dirección de origen real: 6.6.6.5
Dirección de origen simulada: 2.2.2.5
Dirección de destino: 1.1.1.5
IP de ruta de origen abierta: 6.6.6.250, 2.2.2.250
Hacker
2.2.2.0/24
Dirección IP asignada: 1.1.1.5 - 10.1.1.5
Directiva: set policy from untrust to trust
2.2.2.0/24 MIP(1.1.1.5) HTTP permit
ethernet3
1.1.1.1/24
Zona Untrust
ethernet1
10.1.1.1/24
Zona Trust
ServidorHTTP
10.1.1.5
Entre las opciones SCREEN para la zona Untrust se
incluye “Deny IP Source Route Option”.
El dispositivo de seguridad descarta el paquete.

Para bloquear paquetes con la opción IP de ruta de origen abierta o estricta
establecida, utilice uno de los siguientes métodos (la zona de seguridad especificada
es la zona en la que se originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP
Source Route Option Filter y haga clic en Apply.
CLI
set zone zona screen ip-filter-src
Para detectar y registrar (pero no bloquear) paquetes con la opción IP de ruta de
origen abierta o estricta establecida, utilice uno de los siguientes métodos (la zona
de seguridad especificada es la zona en la que se originó el paquete):
WebUI
IP Loose Source Route Option Detection: (seleccione)
IP Strict Source Route Option Detection: (seleccione)
CLI
set zone zona screen ip-loose-src-route
set zone zona screen ip-strict-src-route

Detección de ataques y defensas en ScreenOS

Detección de ataques y defensas en ScreenOS

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (15)

Destaque

Destaque (20)

Semelhante a Detección de ataques y defensas en ScreenOS

Semelhante a Detección de ataques y defensas en ScreenOS (20)

Último

Último (20)

Detección de ataques y defensas en ScreenOS