【Seguridad de red】 Diagrama completo de puntos de conocimiento del firewall (3)

News 2023-09-05 23:09:57 views: null

Esta serie de artículos incluye:

Diagrama completo de puntos de conocimiento del firewall (3)

39. ¿Qué es un ataque DoS?

El nombre completo de DoS esDenial of Service, lo que significa que no se puede continuar con el servicio. El servicio aquí se refiere al servicio del programa de aplicación del servidor. Por ejemplo, cuando el cliente inicia una solicitud HTTP, el servidor puede enviar una respuesta HTTP, lo que significa que el servicio HTTP se completa. Un ataque DoS es un ataque a servidores y dispositivos de red, que crea un volumen de tráfico que excede con creces el prediseñado, haciendo imposible que los servidores y dispositivos de red respondan a los mensajes de respuesta normalmente, lo que resulta en que el sistema atacado no pueda proporcionar servicios . Los ataques DoS también pueden aprovechar los agujeros de seguridad en el sistema operativo o los programas, etc., para hacer que el sistema sea anormal con una pequeña cantidad de tráfico. En DoS, el método de lanzar un ataque a un servidor a través de múltiples trampolines de una botnet se denomina ataque DDoS (Distributed Denial of Service).

40. ¿Cuáles son los tipos de ataques DoS? ¿Qué precauciones tiene el firewall?

  • Syn Flood : se envía una gran cantidad de paquetes TCP SYN, lo que provoca un consumo excesivo de recursos del servidor y la imposibilidad de proporcionar servicios durante un período de tiempo. En el firewall, defina la cantidad de paquetes SYN permitidos por segundo. Cuando los paquetes SYN en la red excedan este valor, se implementará la política de cookies SYN. La estrategia de la cookie SYN es que cuando el servidor recibe el mensaje SYN del cliente, no establece una conexión TCP, sino que coloca el valor hash del contenido del encabezado TCP como un número de serie en el mensaje SYN-ACK y lo devuelve. Después de recibir el mensaje ACK que contiene el número de respuesta correcto, la información de la sesión se almacena en la memoria, lo que evita efectivamente que el ataque consuma la memoria del servidor.

  • Inundación ICMP : también conocido comoPing Floodel envío de una gran cantidad de mensajes de solicitud de eco ICMP para consumir la memoria del servidor, lo que hace que el servidor no pueda proporcionar servicios temporalmente. El firewall define la cantidad máxima de paquetes ICMP permitidos en un segundo y temporalmente no procesa paquetes ICMP que excedan este valor.

  • Inundación UDP : se envía una gran cantidad de paquetes UDP para consumir la memoria del servidor, lo que hace que el servidor no pueda proporcionar servicios temporalmente. El firewall define la cantidad máxima de paquetes UDP permitidos en un segundo y temporalmente no procesa paquetes UDP que excedan este valor.

  • Inundación de IP : envía una gran cantidad de paquetes IP para consumir la memoria del servidor, lo que hace que el servidor no pueda proporcionar servicios temporalmente. El firewall define la cantidad máxima de paquetes IP permitidos en un segundo y temporalmente no procesa paquetes IP que excedan este valor.

  • Tierra : envía paquetes con la misma dirección de origen y dirección de destino. Los dispositivos que sufren este tipo de ataques y tienen vulnerabilidades de seguridad seguirán reenviándose datos a sí mismos y provocarán tiempo de inactividad. El firewall descarta todos esos paquetes.

  • Tear Drop : envíaoffsetpaquetes falsificados que contienen fragmentos de IP ilegales. Para tales ataques, para dispositivos con vulnerabilidades de seguridad, los paquetes no se pueden regenerar, lo que genera tiempo de inactividad. El firewall descarta todos esos paquetes.

  • Ping of Death : el envío excede la longitud máxima del paquete IP 65535 6553565535. _ping_ Este tipo de ataque puede provocar condiciones no operativas para dispositivos con vulnerabilidades de seguridad. El firewall descarta todos esos paquetes.

  • Pitufo : establezca la dirección del objetivo del ataque como la dirección de origen y transmita mensajes de solicitud de eco ICMP, de modo que el objetivo del ataque reciba una gran cantidad de mensajes de respuesta de eco ICMP y consuma recursos de ancho de banda.

  • Fraggle : similar a Smurf ,UDP reemplaza a ICMP para lanzar ataques y usaecho,Chargen,y otros puertos al mismo tiempo. Los cortafuegos generalmente cierran dichos puertos o utilizan políticas de seguridad para bloquearlos.daytimeqotd

  • Inundación de conexiones : genera repetidamente una gran cantidadopende conexiones que permanecen en el estado durante mucho tiempo, ocupandosocketlos recursos del objetivo del ataque. Si no hay límite en el número máximo de conexiones en el lado del servidor, se producirá una falla del sistema.

  • Recargar : presione la tecla continuamente en el navegador webF5para que la página web realice operaciones de actualización repetidamente, lo que también se denominaF5ataque. Cuando el tráfico web es alto, aumentará la carga en el servidor.

41. ¿Cómo defenderse contra DoS?

La defensa contra DoS consiste en limitar el tráfico de comunicación anormal de alta velocidad, que generalmente se logra configurando áreas, interfaces de red, redes y otras unidades.

La defensa DoS también puede interceptar paquetes que contienen contenido ilegal o de baja seguridad. Si dichos paquetes son procesados ​​por firewalls o enrutadores, se desperdiciarán recursos. Por lo tanto, se requieren funciones especiales de defensa DoS para bloquear dichos ataques.

42. ¿Qué es el escaneo de puertos?

Antes de lanzar un ataque, el atacante investigará el equipo del objetivo del ataque. El método más básico y más utilizado es el escaneo de puertos ( port scan). El escaneo de puertos se puede dividir en dos categorías: escaneo de puertos TCP y escaneo de puertos UDP.Envía paquetes a los puertos TCP y UDP para detectar si el dispositivo de destino ha abierto el servicio correspondiente. Por ejemplo, el resultado del escaneo de un determinado dispositivo es que 22 2222 , el atacante sabrá que el dispositivo ha abierto el servicio SSH y luego utilizará el servicio SSH para acceder al dispositivo y lanzar ataques posteriores.

Los firewalls pueden detectar el comportamiento de escaneo de puertos y bloquearlo.

43. ¿Qué tipos de escaneo de puertos existen?

  • Exploración del puerto TCP : 0 0 para TCP0 ~65535 65535Escanee todos los puertos 65535, o escanee los puertos dentro de un rango determinado, para detectar qué puertos están disponibles en el servidor . El proceso de escaneo consiste en enviar un paquete TCP () al servidorSYNse recibeSYN + ACKmensaje TCP ()Si el puerto está cerrado,RST + ACKse recibirá un mensaje TCP ( ) del servidor.

inserte la descripción de la imagen aquí

  • Escaneo de puerto SYN : un tipo de escaneo de puerto TCP, no es necesario completarlo 3 3Apretón de manos de 3 vías, escaneo de puertos directamente en busca de paquetes SYN, también llamado medio escaneo. a las3 3Durante el proceso de protocolo de enlace de tres vías, se juzga si el puerto está abierto según si el servidor responde con un mensaje ACK o un mensaje RST.

  • Escaneo del puerto ACK : para evitar que el firewall detecte el escaneo del puerto SYN, envíe un mensaje ACK al servidor y determine si el puerto está abierto de acuerdo con el tamaño de la ventana del mensaje RST de respuesta. Sólo válido para servidores que envían paquetes con diferentes tamaños de ventana cuando el puerto está abierto o cerrado.

inserte la descripción de la imagen aquí

  • Escaneo de puerto nulo : todos los campos del encabezado TCP enviado al servidor son 0 00 mensaje,RST + ACKjuzgue si el puerto del servidor está abierto o no en función de si el servidor devuelve un mensaje.

  • Escaneo del puerto FIN : envíe un mensaje FIN al servidor yRST + ACKdetermine si el puerto está abierto en función de si se recibe el mensaje.

  • Escaneo de puertos de Navidad : todos los campos del encabezado TCP enviado al servidor son 1 11 mensaje,RST + ACKjuzgue si el puerto está abierto o no según si se recibe el mensaje.

  • Escaneo de puerto UDP : 0 0 para UDP0 ~65535 65535Escanee todos los puertos 65535, o escanee los puertos dentro de un rango determinado, para detectar qué puertos están disponibles en el servidor .

  • Barrido de host : envíe mensajes ICMP o mensajes TCP a una gran cantidad de hosts. Si se devuelve una respuesta, juzgará si el host existe de acuerdo con el mensaje de respuesta devuelto y sabrá qué aplicaciones se están ejecutando en el host y otra información. TCP SYN Host Sweep enviará paquetes TCP SYN al mismo puerto de varios hosts al mismo tiempo.

44. ¿Qué ataques de mensajes ilegales existen?

  • Suplantación de dirección IP (IP Spoofing): para atravesar el firewall y evitar ser monitoreado y registrado, el método de ataque consiste en falsificar la dirección IP de origen en el encabezado IP.

  • Paquetes fragmentados : los paquetes IP fragmentados se utilizan a menudo para ataques debido a una seguridad débil, por lo que el firewall tiene la función de interceptar paquetes fragmentados. Si el tamaño de MTU del mensaje es el mismo que el del enlace de comunicación, no se enviará la fragmentación y esta función no afectará la comunicación normal.

  • Fragmentación ICMP : similar a la fragmentación de IP, el firewall también tiene la función de interceptar la fragmentación ICMP.

  • Paquetes ICMP gigantesPing of Death : los cortafuegos pueden evitar ataquesbloqueando paquetes ICMP que superen un tamaño determinado

  • Mensaje ICMP ilegal : si hay un valor indefinido en el encabezado del mensaje ICMP recibido, se requiere manejo de excepciones adicional. El firewall interceptará dichos paquetes ICMP ilegales.

  • Control de paquetes TCP distintos de SYN : antes de que comience una sesión TCP, se enviará un paquete SYN. Si en una sesión TCP no reconocida, se reciben bits de campo distintos de SYN 1 11. Es probable que los paquetes TCP sean ataques como el escaneo de puertos, por lo que es necesario bloquear dichos paquetes a través de un firewall.

45. ¿Qué es IDS/IPS?

IDS , el nombre completoIntrusion Detection System, es Sistema de Detección de Intrusos . IPS , el nombre completoIntrusion Prevention Systemes Sistema de prevención de intrusiones , denominado colectivamente IDS/IPS .

IDS es responsable de detectar intrusiones ilegales y notificar al administrador del sistema, mientras que IPS intercepta los protocolos y aplicaciones utilizados por intrusiones ilegales a través de la configuración.

Las amenazas que IDS/IPS puede detectar son:

  • Ataque de DOS
  • Fuga de información causada por P2P
  • Ejecute malware como gusanos, caballos de Troya, registradores de pulsaciones de teclas, etc.
  • Intrusión en LAN y comportamiento de detección de intrusiones

Cuando IDS/IPS detecta una intrusión, la tratará en consecuencia:

  • Notificar al administrador, vía correo electrónico o SNMP, etc.
  • registro de registro
  • Interceptar la comunicación y enviar un mensaje TCP RST al atacante

46. ​​¿Qué es la Inspección Profunda?

La función de inspección profunda del firewall puede volver a ensamblar el segmento de datos TCP del flujo de datos de la aplicación para un protocolo de capa de aplicación específico y detectar si contiene parámetros de aplicación ilegales.

inserte la descripción de la imagen aquí

47. ¿Qué tipos de ataques pueden detectar y bloquear IDS/IPS y Deep Inspection?

  • Fuga de información : ataques lanzados por atacantes que utilizan correos electrónicos con scripts maliciosos o URL con malware. Si el ataque tiene éxito, se puede obtener la información confidencial de la otra parte.

  • Ejecutar código : envía datos ilegales al servidor, deja que el servidor acepte y ejecute el código remoto.

  • Ataque DoS : Un ataque que envía una gran cantidad de paquetes, lo que aumenta el uso de CPU y memoria del servidor e impide que el servidor proporcione servicios con normalidad.

  • Desbordamiento de búfer (Buffer Overflow): un programa malicioso induce al servidor a ejecutar memoria que excede el límite superior, lo que resulta en un ataque de desbordamiento de búfer.

  • Inyección SQL : Dirigido a aplicaciones web, utiliza el lenguaje SQL de la base de datos para realizar operaciones ilegales en la base de datos.

  • Cracking por fuerza bruta (Brute Force Attack): también conocido como ataque de bucle, que utiliza herramientas como un diccionario de contraseñas para intentar repetidamente un ataque a la contraseña del administrador. Para prevenir este tipo de ataque, es necesario ejecutar la entrada incorrecta 3 3Una política similar que corta las sesiones después de 3 contraseñas.

  • Secuencias de comandos entre sitios (Cross-site Scripting): CSS o XSS para abreviar. Al explotar la vulnerabilidad de la aplicación web, al enviar el formulario de la página, el servidor ejecuta el script que lleva la etiqueta HTML para lograr el propósito de secuestrar la sesión o realizar phishing.

  • Ataque de explotación : programa o script utilizado en un ataque que explota un agujero de seguridad del software.

  • Secuestro del navegador : Al manipular un navegador que contiene software malicioso, cuando un usuario navega por una página web, se altera la forma y el contenido de la página mostrada. Generalmente, provocará la aparición continua de la barra de publicidad, la adición automática de enlaces URL y la imposibilidad de saltar a otras páginas web.

  • Phishing : utilice correos electrónicos o sitios web conectados a URL de sitios web oficiales falsificados para defraudar a los usuarios con su tarjeta de crédito personal y la información de su cuenta bancaria.

  • Botnet : infecta varias PC a través de bots, envía basura e implementa ataques DoS al mismo tiempo según el orden del atacante. Principalmente usando IRC para dar órdenes de ataque a zombies.

48. ¿Qué es CVE?

CVE ( Common Vulnerabilities ExposuresCommon Vulnerabilities and Exposures ) es un proyecto de la organización estadounidense sin fines de lucro MIRTE Corporation para identificar vulnerabilidades conocidas. La organización asignará un número de identificación CVE () a la vulnerabilidad de seguridad descubierta CVE-ID. Cuando el fabricante de seguridad proporcione múltiples contramedidas de prevención de vulnerabilidades, utilizará este número para informar al usuario qué vulnerabilidad de seguridad es el problema. Con " CVE-(AD)-( 4 4Número de 4 caracteres) ”, indicando que el uso de este número tiene una vulnerabilidad de seguridad conocida.

inserte la descripción de la imagen aquí

49. ¿Qué es el antivirus?

Antivirus También conocida como estrategia antivirus , protege los dispositivos de virus instalando software antivirus en computadoras personales y servidores.

El método de instalación de un software antivirus en el terminal se denomina antivirus basado en host . La forma de escanear todos los datos de comunicación en la red a través del firewall y el equipo especial de la puerta de enlace de Internet se llama antivirus de puerta de enlace . El uso de antivirus de tipo puerta de enlace puede prevenir la propagación de virus en la LAN y la aparición de ataques trampolín en la red.

Ventajas del antivirus de puerta de enlace Desventajas del antivirus basado en host
Capacidad para aplicar las mismas políticas para todos los clientes, políticas para PC cliente y PC virtuales. Las PC cliente y las PC virtuales no pueden adoptar la misma política de seguridad
No depende del sistema operativo del cliente, incluso si el sistema operativo deja de ser compatible, no afectará el escaneo Difícil de aplicar a sistemas operativos descontinuados o no compatibles
Evite la molestia de instalar software y actualizarlo para los clientes Todos los clientes necesitan instalar software, que consume energía.
El usuario no puede detener subjetivamente el proceso de escaneo. Los usuarios pueden detener subjetivamente el escaneo o la actualización
Capacidad de protección contra virus de clientes internos. Aunque puede escanear datos entrantes externos, no puede detectar el tráfico de archivos infectados.
Capacidad para implementar una gestión unificada de registros, informes, etc. a través de dispositivos de puerta de enlace. Los registros, etc. se almacenan en cada PC y la administración unificada requiere otro soporte del sistema.
Ventajas del antivirus alojado Desventajas del antivirus de puerta de enlace
No depende de un protocolo de comunicación específico. No todos los protocolos de comunicación son compatibles, solo se admiten los protocolos FTP, HTTP y correo electrónico
Capacidad para escanear todos los documentos recibidos. No se pueden escanear todos los archivos, como archivos comprimidos con contraseñas, etc.
Capacidad para realizar análisis personalizados para sistemas operativos instalados específicos -

La operación de confirmar la presencia de virus se llama escaneo . Los análisis antivirus de tipo host se realizan dentro del host, mientras que los análisis antivirus de tipo puerta de enlace se realizan en el tráfico.

50. ¿Qué es el antispam?

Spam se refiere a correos electrónicos de acoso, correos electrónicos publicitarios y correos electrónicos fraudulentos. Muchos productos tienen funciones antispam para filtrar dichos correos electrónicos no deseados, pero los correos electrónicos antispam pueden conducir fácilmente a detecciones falsas. Es posible que los correos electrónicos normales se archiven en el software de acoso y la gente piense erróneamente que no han recibido los correos electrónicos. Es necesario prestar atención a esto.

51. ¿Qué es DLP?

DLP , el nombre completoData Loss Prevention, es la función de evitar la fuga de información .

Esta función es para detectar los datos de la aplicación intercambiados en la red y, cuando se encuentra un archivo o datos específicos, realizar operaciones como alarmas, desconectar la sesión y registrar registros de manera oportuna. Se compone principalmente de dos partes: filtrado de archivos y filtrado de datos .

Función ilustrar
filtrado de archivos Al detectar la información de los archivos intercambiados dentro de la sesión, se bloquea la entrada de archivos innecesarios y la salida de archivos confidenciales. Generalmente, el nombre del archivo, la extensión y los datos internos del archivo se analizan y clasifican para determinar si es necesario bloquear el archivo.
filtrado de datos Al detectar la información de datos intercambiada en la sesión, si se encuentran datos que coinciden con una palabra clave específica, se descartarán o se alertarán.

52. ¿Qué es el filtrado de URL?

La función de filtrado de URL está en la comunicación HTTP. Cuando el cliente inicia una solicitud al servidor, puede verificar la información de la URL, determinar si se puede acceder a la URL e interceptar sitios web dañinos. Generalmente se usa como software y firewall en el servidor Y una de las funciones del servidor proxy se proporciona al usuario.

53. ¿Qué funciones de monitoreo tiene el firewall?

El firewall tiene funciones de monitoreo como monitoreo, notificación de alarmas, registro e informes.

  • Monitoreo (monitoring): monitorea el estado en tiempo real de la red y el equipo de red, observa el estado del tráfico y la información de fallas a tiempo, y cuando ocurre una falla o situación anormal, puede alarmar y notificar oportunamente al administrador.

  • Notificación de alarma (alerting): cuando ocurre una falla y ocurre un evento definido, se produce una notificación de alarma al administrador. El método de alarma puede ser enviar una captura SNMP, enviar una comunicación Syslog al servidor Syslog, enviar un correo electrónico al servidor, etc.

  • Registro (logging): la función de registrar varios registros, como registros de tráfico y registros de eventos. Los registros se pueden exportar como texto sin formato, CSV, PDF, etc.

  • Informe (reporting): Procese registros a través de la Web y proporcione información como cuadros y tablas de un vistazo. Algunos firewalls envían registros Syslog o registros dedicados al servidor de administración y muestran informes en el servidor de administración.

54. ¿Qué es la función de captura de paquetes?

Algunos dispositivos de seguridad tienen la función de captura de paquetes. Los paquetes capturados se pueden explorar en el dispositivo o exportarse como WinPcaparchivos en el formato y Wiresharkexplorar en esta aplicación. Cuando ocurre una falla de comunicación, se puede analizar en función de la información del paquete capturado.

inserte la descripción de la imagen aquí

55. ¿Cuáles son los elementos del rendimiento del firewall?

  • Sesiones online simultáneas : El firewall controla el flujo de comunicación en unidades de sesiones gestionando la tabla de sesiones. La cantidad de entradas que se pueden registrar en la tabla de sesiones indica la cantidad de sesiones en línea simultáneas que puede manejar el firewall. Los dispositivos cortafuegos más pequeños suelen gestionar decenas de miles de sesiones, mientras que los cortafuegos utilizados por los proveedores de servicios de telecomunicaciones pueden gestionar millones de sesiones simultáneamente.

  • Número de tablas NAT : algunos firewalls o enrutadores mantienen tablas de sesión y tablas NAT por separado. El número de tablas NAT indica el número de sesiones NAT en línea al mismo tiempo, y este valor indica el número máximo de sesiones NAT que el dispositivo puede establecer. Los firewalls que no tienen un límite superior en la cantidad de tablas NAT generalmente usan el límite superior en la cantidad de sesiones.

  • El número de nuevas sesiones por segundo : El rendimiento de un enrutador generalmente se describe mediante los dos parámetros delbitnúmerode sesiones que se pueden transmitir por segundobit/sy el número de paquetes reenviados por segundoppsEl firewall también agrega un parámetro del número de sesiones nuevas por segundo, que se expresa en 1 1Cuántos procesos completos de establecimiento de sesión se pueden completar en 1 segundo. 1 1Un proceso completo de establecimiento de sesión incluye: monitorear la conexión TCP3 3Apretón de manos de tres vías: si el protocolo de enlace es normal, se genera información de la sesión y la información se registra en la tabla de sesiones y otras operaciones. También introduce otro indicador, expresado en1 1La cantidad de veces que se puede completar una sesión desde su establecimiento hasta su finalización en 1 segundo se denomina cantidad de conexiones por segundo.

Supongo que te gusta

Origin blog.csdn.net/be_racle/article/details/132460074
Recomendado
Clasificación
Diario
Más
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)

Code World

© 2018 codetd.com