Raptor fw synflood protection

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2002 ml@sikurezza.org
Soggetto: Raptor fw synflood protection
Mittente: rubik
Data: 10 Jul 2002 11:23:56 -0000

Ciao,

mi sono scontrato con un problema che (credo) sia da imputare al Raptor
firewall. Questo firewall ha una feature di protezione dai synflood che a
detta della casa madre andrebbe abilitata manualmente *solo* quando si ritiene
di essere attaccati con questa tecnica.
A quanto pare pero' sono in molti ad attivare questa feature e lasciarla
abilitata in quanto a parte un leggero calo nelle performance non _dovrebbe_
creare altri problemi.
Non ho ben capito come funziona questa protezione, ho soltanto potuto
verificare che in determinate condizioni che non mi sono ben chiare ma che si
verificano spessissimo, questo fw quando riceve un syn per iniziare una
connessione, a questo risponde con un ack (*solo* ack, non syn/ack) sommando
1000000 al sequence number del syn che ha ricevuto.
In alcuni casi ho verificato che un client (nel mio caso linux) invia il syn,
riceve l'ack, questo ack non gli quadra quindi invia una rst rimanendo in
attesa del syn/ack relativo al syn precedentemente inviato. (questa e' la
prima cosa che non mi quadra, perche' si comporta cosi?)
In questo modo la cosa poi funziona correttamente.
In altre condizioni se in mezzo alla strada c'e' un qualche aggeggio che fa
stateful inspection possono sorgere dei problemi, ad esempio se c'e' un
firewall netscreen, che di default ha abilitato il check dei sequence number
nello stateful inspection, la cosa non funziona perche' probabilmente non
lascia passare l'ack che torna indietro e se anche lo facesse passare non
farebbe passare la rst che il client invia.
Un'altra cosa strana che ho verificato e' che se a inviare il syn e' una
macchina OpenBSD (non ho provato altro oltre a linux e obsd) quando riceve
l'ack semplicemente lo ignora e rimane in attesa del syn/ack corretto.
Con il netscreen e' sufficiente disattivare il check dei sequence number,
anche se la cosa non e' proprio bellissima.
Le mie domande sono, se c'e' qualcuno che si e' scontrato con queste
problematiche: come dovrebbe funzionare il synflood protection del raptor
firewall? Questa storia di rispondere ad un syn con un ack incrementando di
1000000 il sequence number e' rfc-compliant? Quali dispositivi oltre ai
netscreen hanno problemi a gestire questa cosa? Io ho verificato che
firewall-1 non fa una piega. Altri riscontri?

Saluti,
Luca

-- 
rubik@olografix.org :: Key ID: 0x7E10A781
Unix is user friendly, it's just selective about who its friends are.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Raptor fw synflood protection, Fabio Panigatti - Mailing Lists

Data:
- precedente: R: Content Filtering: Privacy e normativa, McAteo
- successivo: Wu-Ftpd ? (importante, pls), St0rM
- indice

Argomento:
- precedente: Re: Consigli su intervento di sicurezza, hopes
- successivo: Re: Raptor fw synflood protection, Fabio Panigatti - Mailing Lists
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005