Check Point Power-1 11065
Cisco ASA 5585
Fortinet Fortigate 3950
Juniper SRX 5800
Palo Alto Networks PA-4020
SonicWALL NSA E8500
Un atacante podría acceder a un servidor de una red protegida mediante un ataque llamado "TCP split-handshake". Para entender este ataque hay que recordar como Intercambio de 3 vías:
Antes de nada hay que saber que un atacante no puede realizar este tipo de ataque sin la interaccion de un usuario de la red a la que quiere atacar. es decir el hacker no podría saltarse un firewall si antes un usuario no está intentando acceder a un servidor controlado por el hacker.
Esencialmente, una conexión simultánea abierta, tanto el cliente y el servidor envía un paquete SYN el uno al otro en la misma época. A continuación, ambas partes también enviar los paquetes ACK el uno al otro en respuesta. Esta variante ligeramente distinta del protocolo de enlace TCP no sucede mucho en el mundo real, sin embargo, es una forma perfectamente legítima para iniciar una conexión TCP (según RFC 793).
Esto nos lleva al TCP handshake (también llamado a veces un ataque furtivo ACK). Como su nombre indica, el "handshak" combina aspectos del protocolo de enlace normal de tres vías ,"TCP handshake", con el "simultaneous-open handshake".
Esto nos lleva al TCP handshake (también llamado a veces un ataque furtivo ACK). Como su nombre indica, el "handshak" combina aspectos del protocolo de enlace normal de tres vías ,"TCP handshake", con el "simultaneous-open handshake".
Esencialmente, un cliente envía un paquete SYN a un servidor, con la intención de completar un handshake normal de tres vías. Sin embargo, en lugar de completar handshake del cliente de tres vías, un servidor malicioso responde como si tratara de hacer una conexión simultánea, y luego comienza su propio protocolo de enlace de tres vías en la otra dirección - del servidor al cliente. Así pues, en esencia, a pesar de que el cliente inició la conexión con el servidor, la dirección lógica de esta relación se invierte.
Esta es una descripción bastante rápida y de alto nivel de este ataque.
Esta es una descripción bastante rápida y de alto nivel de este ataque.
Defensa:
NSS Lab monitorizó el funcionamiento de ciertos dispositivos durante el ataque y llego a las siguientes conclusiones:
SNORT
El dispositivo de Snort trabajó como se esperaba en todas las circunstancias probadas. La prueba fue detectada en el escenario normal de tres vias handshake.
El componente "preprocesor stream5" del dispositivo de Snort se utilizó, como se documenta en el capítulo 2 de la Guía del usuario de Snort [10].
Firewall basados en Windows y Apple
En sistemas basados en Windows , con el firewall activado por defecto y XP Service Pack 2 (and 3) instalado se observó que tanto activando como desactivando el firewall, el ataque no tiene efecto ya que no acepta sesiones basadas en split-handshake.
Igual comportamiento se observo al probar un firewall basado en Apple.
Firewall basados en Linux
Se ha probado que en sistemas Linux como Ubuntu una conexión "simultaneous-open" no es soportada pero nos advierte que en el momento que Linux Ubuntu lo soporte no pueden estar seguros de si será vulnerable a este ataque o no.
Script:
Fakestack.rb es un script Ruby, diseñado para simular un servidor el cual tiene implementado el "TCP split-handshake connection". Puedes usar este script para saber como responde tu red ante un "TCP split-handshake connections" y ver si tu red es vulnerable a este ataque o no.
Lo puedes descargar de:
http://code.google.com/p/packetfu/
Fuente:
* http://watchguardsecuritycenter.com/2011/04/15/what-is-the-tcp-split-handshake-attack-and-does-it-affect-me/
* http://www.linuxsecurity.com/content/view/154868/169/
No hay comentarios:
Publicar un comentario