HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red III

Última respuesta nov. 24, 2019 13:37:37 121 1 2 0

Buen día.


Este post es el 3 de 7, conformando la suite de temas que comprenden las tecnologias de defensa contra ataques a la red.

En lo siguientes enlaces accederás a los post 1 y 2

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnolog%C3%ADas-de-defensa-contra-ataques-a-la-red-i/thread/581574-100233

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnolog%C3%ADas-de-defensa-contra-ataques-a-la-red-ii/thread/581618-100233


PRINCIPIOS DE DEFENSA CONTRA ATAQUES DEL TIPO PAQUETE SIMPLE (SINGLE-PACKET) PARTE III

 

Ataques con Paquetes Especiales

 

Ataques del tipo Paquetes ICMP Extensos  (Large ICMP Packets)

 

·        Descripción: un atacante envía paquetes ICMP con exceso de tamaño hacia el sistema objetivo. Algunos sistemas o dispositivos  no pueden procesar paquetes con exceso de tamaño. Después de recibir tales paquetes, el sistema puede fallar, corromperse o reiniciarse.

 

·        Solución: se puede limitar el máximo permitido de paquetes ICMP, según sea necesario para la operación. Cuando la longitud actual del paquete ICMP excede el valor configurado, el firewall considera que es un paquete ICMP extenso y lo considera un ataque, por tal, descarta el paquete.

 

·        La configuración para la defensa contra este tipo de ataques es:

lpat

Ø El parámetro length especifica el tamaño del paquete, si no se especifica, tomará el que es por defecto, de 4000 bytes



Ataque del Tipo Paquete ICMP Inalcanzable (ICMP Unreachable)

 

·        Descripción: El sistema procesa los paquetes inalcanzables de diferentes modos. Algunos sistemas cierran las conexiones entre el destino y el host después de recibir el primer paquete de red o ICMP que sea inalcanzable. El atacante puede forzar un paquete inalcanzable y cortar la conexión entre la víctima y el destino, implementando un ataque.

 

·        Solución: habilitar la defensa contra este ataque. El firewall descarta el paquete ICMP inalcanzable y guarda un log del ataque.

 

·        La configuración para la defensa contra este tipo de ataques es:

def unr



Ataque del Tipo Traza de Ruta (Tracert)


·        Descripción: Un atacante descubre el camino entre el origen y el destino de un host de acuerdo a la respuesta que recibe del paquete ICMP cuando el valor TTL es 0. El atacante entonces puede probar la estructura de la red


·        Solución: el dispositivo descarta los paquetes ICMP o UDP cuyo tiempo ha expirado, o cuyos paquetes contengan un puerto inalcanzable.


·        La configuración para la defensa contra este tipo de ataques es:

trac


Configuración WEB Para la Defensa Contra Ataques Con paquetes Especiales

dcae

1.   Dentro de la pantalla especificada, seleccionar la casilla pata habilitar la la opción contra el ataque del cual queremos que el firewall proteja la red.

2.   Posteriormente damos click y aplicar.



URPF (Unicast Reverse Path Forwarding/Respuesta Inversa del Paquete Unicast Sobre el Camino)

 

·        El objetivo de URPF es el prevenir el comportamiento de los ataques de la red basándose en el sondeo de la dirección IP origen. Para esto existen dos modos:

 

§  Estricto: si la simetría de la ruta está asegurada, URPF en modo estricto puede ser usado. En este modo, los paquetes pueden pasar la revisión solo cuando la tabla de reenvíos contenga las entradas relacionadas y exista coincidencia con las interfaces de entrada. Si solo existe una manera/camino entre los dos equipos frontera, las rutas son simétricas. En este caso, URPF en modo estricto puede asegurar la seguridad de la red en su mayor extensión.

 

§  Loose: un paquete puede pasar la verificación mientras que la tabla de reenvío tenga una ruta de entrada con la dirección de destino siendo la dirección origen del paquete. La verificación del modo loose no requiere que la interface de entrada de los paquetes sea la misma que la de la interface de salida de acuerdo a la tabal de rutas de entrada.

 

Proceso de URPF Parte I

procero urfp1

·        Descripción del proceso:

§  Verifica si la dirección origen del paquete existe en la tabla FIB del USG

 

Ø Modo estricto: busca la interface de salida del paquete. Si solo una interface de salida coincide con la interface del paquete, el paquee pasa la verificación. De otro modo, el paquete es descartado. Si existen múltiples interfaces de salida que coinciden con la interface de salida del paquete, se necesita revisión en modo LOOSE.

 

Ø Modo LOOSE: si la IP origen del paquete existe en la tabla FIB del USG (sin importar la consistencia entre la búsqueda inversa de la interface de salida y la interface de entada del paquete, el paquete pasa la verificación. De otro modo, el paquete es denegado.)



Proceso de URPF Parte II

urfp2


·        Si la dirección origen del paquete no existe en la tabla FIB del USG, se verifica la ruta por defecto de URPF allow-default-route.

 

§  Si la ruta por defecto está configurada pero el parámetro allow-default-route no está configurado, el paquete es denegado sin tomar en cuenta que la dirección origen del paquete existe en la tabla FIB del USG.

§  Si tanto el parámetro allow-default-route como la ruta por defecto están configuradas: en el caso de que esté habilitada la revisión ESTRICTA; si la interface de salida de la ruta por defecto y la interface de entrada del paquete son consistentes, el paquete pasa la verificación URPF y es reenviado. Siendo de otro modo, el paquete es denegado. En el caso de que esté habilitada la verificación LOOSE, todos los paquetes pasan la verificación URPF y son reenviados.

 

Flujo del Proceso de URPF      

 

·        La ACL coicide solo después de que el paquete es denegado. Si la ACL permite el paquete, este es reenviado. Si la ACL deniega el paquete, este es descartado.

·        Configuración URPF:

urfp pr

Ø  Las interfaces que se pueden habilitar con URPF son GE, VLAN-IF, ETH-TRUNK, TUNNEL y SUB-INTERFACES


Finaliza la parte 3 de 7, recuerda, visita los post anteriores, comenta y deja tu ♥


  • x
  • convención:

Wutang
Publicado 2019-11-24 13:37:37 Útil(0) Útil(0)
Gracias!
  • x
  • convención:

IT%20service%20desk%2C%20dos%20a%C3%B1os%20de%20experiencia%20en%20soporte%20t%C3%A9cnico%20y%20aficionado%20a%20Datacom

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión