Varredura de endereços IP e verificação de porta
Uma varredura de endereço ocorre quando um endereço IP de origem envia um número predefinido de pacotes ICMP para vários hosts em um intervalo de tempo predefinido. A digitalização de portas ocorre quando um endereço IP de origem envia pacotes IP contendo segmentos SYN do TCP a um número predefinido de diferentes portas no mesmo endereço IP de destino em um intervalo de tempo predefinido, Para obter mais informações, veja os seguintes tópicos:
Entendendo o reconhecimento de rede usando opções de IP
O padrão IP RFC 791, Protocolo de Internet, especifica um conjunto de opções para fornecer controles especiais de roteamento, ferramentas de diagnóstico e segurança.
A RFC 791 afirma que essas opções são "desnecessárias para as comunicações mais comuns" e, na realidade, raramente aparecem em cabeçalhos de pacotes IP. Essas opções aparecem após o endereço de destino em um cabeçalho de pacote IP, conforme mostrado na Figura 1. Quando eles aparecem, eles são frequentemente colocados em algum uso ilegítimo.
de roteamento
Este tópico contém as seguintes seções:
- Usos para opções de cabeçalho de pacote IP
- Opções de tela para detectar opções de IP usadas para reconhecimento
Usos para opções de cabeçalho de pacote IP
A Tabela 1 lista as opções de IP e seus atributos que acompanham.
Tipo |
Classe |
Número |
Comprimento |
Uso pretendido |
Uso nefasto |
|---|---|---|---|---|---|
Fim das opções |
0* |
0 |
0 |
Indica o fim de uma ou mais opções de IP. |
Nenhum. |
Sem opções |
0 |
1 |
0 |
Indica que não há opções de IP no cabeçalho. |
Nenhum. |
Segurança |
0 |
2 |
11 bits |
Oferece uma maneira de os hosts enviarem parâmetros de segurança, TCC (grupo de usuário fechado) e códigos de restrição de manuseio compatíveis com os requisitos do Departamento de Defesa (DoD). (Essa opção, conforme especificado na RFC 791, Protocolo de Internet e RFC 1038, Opção de segurança IP revisada, é obsoleta.) Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
Desconhecido. No entanto, por ser obsoleto, sua presença em um cabeçalho IP é suspeita. |
Rota de origem frouxa |
0 |
3 |
Varia |
Especifica uma lista parcial de rotas para que um pacote faça sua jornada de origem ao destino. O pacote deve prosseguir na ordem dos endereços especificados, mas ele pode passar por outros dispositivos entre os especificados. |
Evasão. O invasor pode usar as rotas especificadas para ocultar a verdadeira fonte de um pacote ou obter acesso a uma rede protegida. |
Rota de registro |
0 |
7 |
Varia |
Registra os endereços IP dos dispositivos de rede ao longo do caminho que o pacote IP viaja. A máquina de destino pode então extrair e processar as informações da rota. (Devido à limitação de tamanho de 40 bytes para a opção e espaço de armazenamento, isso só pode registrar até 9 endereços IP.) Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
Reconhecimento. Se o host de destino for uma máquina comprometida no controle do invasor, ele ou ela pode obter informações sobre a topologia e o esquema de endereçamento da rede por meio da qual o pacote passou. |
ID de fluxo |
0 |
8 |
4 bits |
(Obsoleto) Forneceu uma maneira para que o identificador de fluxo SATNET de 16 bits fosse transportado por redes que não suportavam o conceito de fluxo. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
Desconhecido. No entanto, por ser obsoleto, sua presença em um cabeçalho IP é suspeita. |
Rota de origem rigorosa |
0 |
9 |
Varia |
Especifica a lista de rotas completa de um pacote para realizar sua jornada da fonte ao destino. O último endereço da lista substitui o endereço no campo de destino. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
Evasão. Um invasor pode usar as rotas especificadas para ocultar a verdadeira fonte de um pacote ou obter acesso a uma rede protegida. |
Timestamp |
2** |
4 |
|
Registra o tempo (em tempo universal coordenado [UTC]***) quando cada dispositivo de rede recebe o pacote durante sua viagem do ponto de origem ao seu destino. Os dispositivos de rede são identificados por endereço IP. Essa opção desenvolve uma lista de endereços IP dos dispositivos ao longo do caminho do pacote e da duração da transmissão entre cada um. Atualmente, essa opção de tela é aplicável apenas ao IPv4. |
Reconhecimento. Se o host de destino for uma máquina comprometida no controle do invasor, ele ou ela pode obter informações sobre o esquema de topologia e endereçamento da rede por meio do qual o pacote passou. |
* A classe de opções identificada como 0 foi projetada para fornecer pacotes extras ou controle de rede. ** A classe de opções identificada como 2 foi projetada para diagnóstico, depuração e medição. O temporizador usa o número de milissegundos desde a meia-noite da UTC. A UTC também é conhecida como Horário Médio de Greenwich (GMT), que é a base para o padrão de tempo internacional. |
|||||
Opções de tela para detectar opções de IP usadas para reconhecimento
As opções de tela a seguir detectam opções de IP que um invasor pode usar para reconhecimento ou para algum propósito desconhecido, mas suspeito:
Rota de registro — o Junos OS detecta pacotes onde a opção IP é 7 (rota de registro) e registra o evento na lista de contadores de tela para a interface de entrada. Atualmente, essa opção de tela é aplicável apenas ao IPv4.
Temporizações — o Junos OS detecta pacotes em que a lista de opções de IP inclui a opção 4 (data e hora da Internet) e registra o evento na lista de contadores de tela para a interface de entrada. Atualmente, essa opção de tela é aplicável apenas ao IPv4.
Segurança — o Junos OS detecta pacotes onde a opção IP é 2 (segurança) e registra o evento na lista de contadores de tela para a interface de entrada. Atualmente, essa opção de tela é aplicável apenas ao IPv4.
ID de fluxo — o Junos OS detecta pacotes onde a opção de IP é 8 (ID de fluxo) e registra o evento na lista de contadores de tela para a interface de entrada. Atualmente, essa opção de tela é aplicável apenas ao IPv4.
Se um pacote com alguma das opções de IP anteriores for recebido, o Junos OS sinaliza isso como um ataque de reconhecimento de rede e registra o evento para a interface de entrada.
Exemplo: Detecção de pacotes que usam opções de tela IP para reconhecimento
Este exemplo mostra como detectar pacotes que usam opções de tela IP para reconhecimento.
Requisitos
Antes de começar, entenda como funciona o reconhecimento de rede. Veja a compreensão do reconhecimento de rede usando opções de IP.
Visão geral
O RFC 791, Protocolo de Internet, especifica um conjunto de opções para fornecer controles especiais de roteamento, ferramentas de diagnóstico e segurança. As opções de tela detectam opções de IP que um invasor pode usar para reconhecimento, incluindo rota de registro, temporização, segurança e ID de fluxo.
Neste exemplo, você configura uma tela de IP-1 e a habilita em uma zona de segurança chamada zona 1.
Você pode habilitar apenas uma tela em uma zona de segurança.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para detectar rapidamente os pacotes com as opções de rota de registro, temporização, segurança e ID de tela IP, copie os seguintes comandos e cole-os no CLI.
[edit] set security screen ids-option screen-1 ip record-route-option set security screen ids-option screen-1 ip timestamp-option set security screen ids-option screen-1 ip security-option set security screen ids-option screen-1 ip stream-option set security zones security-zone zone-1 screen screen-1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para detectar pacotes que usam opções de tela IP para reconhecimento:
Configure opções de tela IP.
Nota:Atualmente, essas opções de tela oferecem suporte apenas ao IPv4.
[edit security screen] user@host# set ids-option screen-1 ip record-route-option user@host# set ids-option screen-1 ip timestamp-option user@host# set ids-option screen-1 ip security-option user@host# set ids-option screen-1 ip stream-option
Habilite a tela na zona de segurança.
[edit security zones ] user@host# set security-zone zone-1 screen screen-1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security screen comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
[user@host]show security screen
ids-option screen-1 {
ip {
record-route-option;
timestamp-option;
security-option;
stream-option;
}
}
[edit]
[user@host]show security zones
zones {
security-zone zone-1 {
screen screen-1;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificação das telas na zona de segurança
Propósito
Verifique se a tela está habilitada na zona de segurança.
Ação
A partir do modo operacional, entre no show security zones comando.
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: screen-1
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
Verificando a configuração da tela de segurança
Propósito
Exibir as informações de configuração sobre a tela de segurança.
Ação
A partir do modo operacional, entre no show security screen ids-option screen-name comando.
[edit]
user@host> show security screen ids-option screen-1
Screen object status:
Name Value
IP record route option enabled
IP timestamp option enabled
IP security option enabled
IP stream option enabled
Entendendo as varreduras de endereços IP
Uma varredura de endereço ocorre quando um endereço IP de origem envia um número definido de pacotes ICMP enviados para diferentes hosts em um intervalo definido (5000 microssegundos é o padrão). O objetivo deste ataque é enviar pacotes de ICMP — normalmente solicitações de eco — para vários hosts na esperança de que pelo menos um responda, descobrindo assim um endereço ao alvo.
O Junos OS registra internamente o número de pacotes ICMP em endereços diferentes de uma fonte remota. Usando as configurações padrão, se um host remoto enviar tráfego ICMP para 10 endereços em 0,005 segundos (5000 microssegundos), então o dispositivo sinaliza isso como um ataque de varredura de endereço e rejeita todos os pacotes de ICMP adicionais desse host pelo restante do período de limite especificado. Veja a Figura 2.
Considere habilitar essa opção de tela para uma zona de segurança apenas se houver uma política que permita o tráfego ICMP dessa zona. Caso contrário, você não precisa habilitar a opção de tela. A falta de tal política nega todo o tráfego de ICMP dessa zona, impedindo um invasor de realizar com sucesso uma varredura de endereço IP de qualquer maneira.
O Junos OS oferece suporte a essa opção de tela para trafffic ICMPv6 também.
Exemplo: Bloqueio de varreduras de endereços IP
Este exemplo descreve como configurar uma tela para bloquear uma varredura de endereço IP originária de uma zona de segurança.
Requisitos
Antes de começar:
Entenda como as varreduras de endereço IP funcionam. Veja a compreensão das varreduras de endereços IP.
Configure zonas de segurança. Veja a visão geral das zonas de segurança.
Visão geral
Você precisa habilitar uma tela para uma zona de segurança se tiver configurado uma política que permita o tráfego ICMP a partir dessa zona. Se você não tiver configurado tal política, então seu sistema nega todo o tráfego ICMP dessa zona, e o invasor não pode realizar uma varredura de endereço IP com sucesso de qualquer maneira.
Neste exemplo, você configura uma 5000-ip-sweep tela para bloquear as varreduras de endereço IP originadas na zona de segurança da zona 1.
Topologia
Configuração
Procedimento
Procedimento passo a passo
Para configurar uma tela para bloquear as varreduras de endereço IP:
Configure uma tela.
[edit] user@host# set security screen ids-option 5000-ip-sweep icmp ip-sweep threshold 5000
Habilite a tela na zona de segurança.
[edit] user@host# set security zones security-zone zone-1 screen 5000-ip-sweep
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Confirme se a configuração está funcionando corretamente.
Verificação das telas na zona de segurança
Propósito
Verifique se a tela está habilitada na zona de segurança.
Ação
A partir do modo operacional, entre no show security zones comando.
[edit]
user@host> show security zones
Security zone: zone-1
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: 5000-ip-sweep
Interfaces bound: 1
Interfaces:
ge-1/0/0.0
Verificando a configuração da tela de segurança
Propósito
Exibir as informações de configuração sobre a tela de segurança.
Ação
A partir do modo operacional, entre no show security screen ids-option screen-name comando.
[edit] user@host> show security screen ids-option 5000-ip-sweep Screen object status: Name Value ICMP address sweep threshold 5000
Entendendo a digitalização das portas do TCP
Uma verificação de porta ocorre quando um endereço IP de origem envia pacotes IP contendo segmentos SYN do TCP a 10 portas de destino diferentes em um intervalo definido (5000 microssegundos é o padrão). O objetivo deste ataque é escanear os serviços disponíveis na esperança de que pelo menos uma porta responda, identificando assim um serviço ao alvo.
O Junos OS registra internamente o número de diferentes portas digitalizadas de uma fonte remota. Usando as configurações padrão, se um host remoto escanear 10 portas em 0,005 segundos (5000 microssegundos), o dispositivo sinalizará isso como um ataque de verificação de porta e rejeitará todos os pacotes adicionais da fonte remota, independentemente do endereço IP de destino, pelo restante do período de tempo limite especificado. Veja a Figura 3.
porta
O Junos OS oferece suporte à digitalização de portas para tráfego IPv4 e IPv6.
Entendendo a digitalização de portas UDP
A verificação de porta UDP oferece informações estatísticas sobre um limite de sessão. À medida que os pacotes de entrada atravessam a tela, as sessões são estabelecidas. O número de limite de sessões aplicado é baseado em ip de zona, origem e o período limite e não permite mais de 10 novas sessões no período de limiar configurado, para cada zona e endereço IP de origem. A verificação da porta UDP é desativada por padrão. Quando a verificação da porta UDP é habilitada, o período limite padrão é de 5000 microssegundos. Esse valor pode ser definido manualmente para um intervalo de 1000-1.000.000 microssegundos. Esse recurso protege alguns serviços públicos de UDP expostos contra ataques de DDoS. Veja a Figura 4.
da porta UDP
Aprimorando o gerenciamento de tráfego bloqueando as verificações de portas
Este exemplo mostra como melhorar o gerenciamento de tráfego configurando uma tela para bloquear as verificações de porta originárias de uma zona de segurança específica.
Requisitos
Antes de começar, entenda como funciona a digitalização de portas. Veja como entender a digitalização da porta TCP.
Visão geral
Você pode usar uma verificação de porta para bloquear pacotes IP que contenham segmentos SYN TCP ou segmentos UDP enviados para diferentes portas a partir do mesmo endereço de origem em um intervalo definido. O objetivo deste ataque é escanear os serviços disponíveis na esperança de que pelo menos uma porta responda. Assim que uma porta responde, ela é identificada como um serviço a ser direcionado.
Neste exemplo, você configura uma tela de verificação de porta 5000 para bloquear as verificações de porta originárias de uma zona de segurança específica e, em seguida, atribuir a tela à zona chamada zona-1.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 set security screen ids-option 10000-port-scan udp port-scan threshold 10000 set security zones security-zone zone-1 screen 5000-port-scan
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar uma tela para bloquear verificações de porta:
Configure a tela.
[edit security] user@host# set security screen ids-option 5000-port-scan tcp port-scan threshold 5000 user@host#set security screen ids-option 10000-port-scan udp port-scan threshold 10000
Habilite a tela na zona de segurança.
[edit security] user@host# set security zones security-zone zone-1 screen 5000-port-scan
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security screen ids-option 5000-port-scan comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security screen ids-option 5000-port-scan
tcp {
port-scan threshold 5000;
}
udp {
port-scan threshold 10000;
}
[edit]
user@host# show security zones
security-zone zone-1 {
screen 5000-port-scan;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificação das telas na zona de segurança
Propósito
Verifique se a tela está habilitada na zona de segurança.
Ação
A partir do modo operacional, entre no show security zones comando.
[edit] user@host> show security zones Security zone: zone-1 Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: 5000-port-scan Interfaces bound: 0 Interfaces:
Significado
A saída de amostra mostra que a tela para a zona 1 está habilitada para o bloqueio de verificação de portas.
Verificando a configuração da tela de segurança
Propósito
Verifique as informações de configuração sobre a tela de segurança.
Ação
A partir do modo operacional, entre no show security screen ids-option screen-name comando.
[edit] user@host> show security screen ids-option 5000-port-scan Screen object status: Name Value TCP port scan threshold 5000 UDP port scan threshold 10000
Significado
A saída de amostra mostra que o bloqueio de verificação de portas está operacional com o limite de TCP e UDP.