Acerca de las Opciones de Administración de Paquetes Predeterminada
Cuando su dispositivo Firebox recibe un paquete, examina la fuente y el destino del paquete. Busca la dirección IP y el número del puerto. El dispositivo también monitorea paquetes en busca de patrones que pueden mostrar si su red está en riesgo. Este proceso se denomina administración de paquetes predeterminada.
La administración de paquetes predeterminada puede hacer lo siguiente:
- Rechazar un paquete que podría ser un riesgo de seguridad, incluyendo paquetes que podrían ser parte de un ataque de suplantación de paquetes o ataque de congestión del servidor SYN
- Bloquear automáticamente todo el tráfico hacia y desde una dirección IP
- Agregar un evento al archivo de registro
- Enviar una captura SNMP al Management Server de SNMP
- Enviar una notificación de posibles riesgos de seguridad
Las opciones de la administración predeterminada de paquetes relacionadas a ataques IPSec, IKE, ICMP, SYN y ataques de congestión del servidor se aplican tanto al tráfico IPv4 como al IPv6. Todas las otras opciones se aplican únicamente al tráfico IPv4.
Para obtener información sobre los tipos de ataques en los que Firebox puede actuar, consulte:
- Acerca de los Ataques de Suplantación de Paquetes
- Acerca de los Ataques de Ruta de Origen de IP
- Acerca de Escaneos de Puerto y Dirección IP
- Acerca de Ataques de Congestión del Servidor
- Acerca de los Paquetes No Controlados
- Acerca de los Ataques de Denegación de Servicios Distribuidos
Para un Firebox configurado en modo Directo o Puente, puede usar el comando CLI default-packet-handling para permitir que el Firebox descarte los ataques de suplantación de paquetes ARP. Esta opción solo se puede configurar en la CLI y es compatible con Fireware v12.2 y superior. Para obtener más información, consulte la Referencia de la Command Line Interface, disponible en la página Documentación del Producto.
Configurar la Administración Predeterminada de Paquetes
La mayoría de las opciones de administración predeterminada de paquetes están activadas en la configuración del dispositivo Firebox. Puede cambiar los umbrales en los cuales Firebox toma una acción. También puede cambiar las opciones seleccionadas para la administración de paquetes predeterminada.
- Seleccione Firewall > Administración Predeterminada de Paquetes.
Se abre la página Administración de Paquetes Predeterminada.
- Marque las casillas de selección de los patrones de tráfico contra los que desea actuar.
Para configurar la administración predeterminada de paquetes, desde Policy Manager:
- Haga clic en .
O bien seleccione Configuración > Default Threat Protection > Administración Predeterminada de Paquetes.
Se abre el cuadro de diálogo Administración de Paquetes Predeterminada.
- Marque las casillas de selección de los patrones de tráfico contra los que desea actuar.
Definir Opciones de Generación de Registros y Notificación
La configuración predeterminada del dispositivo ordena al Firebox enviar un mensaje de registro cuando se produce un evento que se especifica en el cuadro de diálogo de Administración Predeterminada de Paquetes.
Los mensajes de registro para estos eventos están habilitados de forma predeterminada y no se pueden desactivar:
- Ataques de suplantación de paquetes ARP e IP
- Escaneos de Dirección y Puerto
- Ruta de origen de IP
- Ping of Death
- IPSec, IKE, SYN, ICMP, Ataques de congestión del servidor
- Ataque DDOS de Origen y Destino
Los mensajes de registro para estos eventos están habilitados de forma predeterminada y se pueden desactivar de ser necesario.
- Paquete Interno y Externo No Controlado — Un paquete no controlado es un paquete que no coincide con ninguna regla de política. Por defecto, Firebox siempre niega los paquetes no controlados y registra el evento.
Los mensajes de registro para estos eventos están deshabilitados de forma predeterminada y se pueden activar de ser necesario.
- Difusiones Entrantes y Salientes — De forma predeterminada, las difusiones entrantes y salientes no se registran. Habilite esta opción para enviar mensajes de registro para estas difusiones permitidas. Las difusiones que están permitidas incluyen DHCP (si el dispositivo Firebox está configurado como un servidor DHCP), DHCP Relé y enrutamiento de difusión/multicast BOVPN. Las difusiones negadas siempre se registran de forma predeterminada.
Para configurar una captura SNMP o notificación:
- Haga clic en Generación de Registros.
Se abre el cuadro de diálogo Generación de Registros y Notificación. - Configure los ajustes de notificaciones según se describe en Establecer las Preferencias de Generación de Registros y Notificación.
Para obtener más información, consulte Acerca del SNMP