La prevención de intrusiones permite detectar y rechazar tráfico mal formado y preparado para impactar en el rendimiento o la seguridad del equipo a proteger. Este tipo de tráfico puede provocar un mal funcionamiento de los programas del usuario que lo reciben y puede derivar en problemas serios de seguridad, permitiendo la ejecución de aplicaciones del usuario de forma remota por parte del hacker, extracción y robo de información etc.
Adaptive Defense 360 identifica 15 tipos de patrones genéricos que pueden ser activados o desactivados haciendo clic en la casilla apropiada. A continuación se detallan los tipos de tráfico mal formado soportados y una explicación de cada uno de ellos:
IP explicit path
Se rechazan los paquetes IP que tengan la opción de “explicit route”. Son paquetes IP que no se encaminan en función de su dirección IP de destino, en su lugar la información de encaminamiento es fijada de ante mano.
Land Attack
Comprueba intentos de denegación de servicios mediante bucles infinitos de pila TCP/IP al detectar paquetes con direcciones origen y destino iguales.
SYN flood
Lanza inicios de conexión TCP de forma masiva para obligar al equipo a comprometer recursos para cada una de esas conexiones. Se establece un límite máximo de conexiones TCP abiertas para evitar una sobrecarga del equipo atacado.
TCP Port Scan
Detecta si un equipo intenta conectarse a varios puertos del equipo protegido en un tiempo determinado. Detiene el ataque denegando las respuestas al equipo sospechoso. Adicionalmente filtra las respuestas para que el origen del tráfico de scaneo ni siquiera obtenga respuesta de puerto cerrado
TCP Flags Check
Detecta paquetes TCP con combinaciones de flags inválidas. Actúa como complemento a las defensas de “Port Scanning” al detener ataques de este tipo como "SYN & FIN" y "NULL FLAGS" y a la de “OS identification” ya que muchas de estas pruebas se basan en respuestas a paquetes TCP inválidos
Header lengths:
IP: se rechazan los paquetes entrantes con un tamaño de cabecera IP que se salga de los límites establecidos.
TCP: se rechazan los paquetes entrantes con un tamaño de cabecera TCP que se salga de los límites establecidos.
Fragmentation control: realiza comprobaciones sobre el estado de los fragmentos de un paquete a reensamblar, protegiendo de ataques de agotamiento de memoria por ausencia de fragmentos, redireccionado de ICMP disfrazado de UDP y scanning de máquina disponible.
UDP Flood
Se rechazan los paquetes UDP que llegan a un determinado puerto si exceden en cantidad a un número determinado en un periodo determinado.
UDP Port Scan
Protección contra escaneo de puertos UDP.
Smart WINS
Se rechazan las respuestas WINS que no se corresponden con peticiones que el equipo haya enviado
Smart DNS
Se rechazan las respuestas DNS que no se corresponden con peticiones que el equipo haya enviado
Smart DHCP
Se rechazan las respuestas DHCP que no se corresponden con peticiones que el equipo haya enviado
ICMP Attack
Este filtro implementa varias comprobaciones:
SmallPMTU: mediante la inspección de los paquetes ICMP se detectan valores inválidos en el tamaño del paquete utilizados para generar una denegación de servicio o ralentizar el tráfico saliente.
SMURF: envío de grandes cantidades de tráfico ICMP (echo request) a la dirección de broadcast de la red con la dirección de origen cambiada (spoofing) a la dirección de la víctima. La mayoría de los equipos de la red responderán a la víctima, multiplicando el tráfico por cada equipo de la subred. Se rechazan las respuestas ICMP no solicitadas si estás superan una determinada cantidad en un segundo.
Drop unsolicited ICMP replies: se rechazan todas las respuestas ICMP no solicitadas o que hayan expirado por el timeout establecido.
ICMP Filter echo request
Se rechazan las peticiones de Echo request.
Smart ARP
Se rechazan las respuestas ARP que no se corresponden con peticiones que el equipo protegido haya enviado para evitar escenarios de tipo ARP cache poison.
OS Detection
Falsea datos en respuestas al remitente para engañar a los detectores de sistemas operativos y así evitar posteriores ataques dirigidos a aprovechar las vulnerabilidades asociadas al sistema operativo detectado. Esta defensa se complementa con la de “TCP Flags Check”.
Temas relacionados
Configuración general del firewall
Protección mediante reglas de programas
Protección mediante reglas de sistema