TCP/IP SYN+FIN Packet Filtering Weakness

Vladimir
Опубликовано в: Linux

US CERT Vulnerability Note VU#464113

Сканируя Nessus парочку хостов, столкнулся с тем, что Nessus определял, что система (Linux 2.6.x) не фильтрует TCP/IP пакеты, у которых установлены флаги SYN и FIN, что, теоретически, может привести к обходу межсетевого экрана (firewall).

Подробности об уязвимости в архиве Neohapsis и в базе данных US CERT (что характерно, уязвимость датируется 2002 годом). С другой стороны, RFC1644 разрешает пакеты, с установленными флагами SYN и FIN.

Тем, кому T/TCP не интересен, закрывать уязвимость могут следующим образом:

[-]
View Code Bash
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,PSH SYN,PSH -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,URG SYN,URG -j DROP

Кроме того, я запрещаю ICMP-запросы address mask request и timestamp request:

[-]
View Code Bash
/sbin/iptables -A INPUT  -p icmp -m icmp --icmp-type address-mask-request -j DROP
/sbin/iptables -A INPUT  -p icmp -m icmp --icmp-type timestamp-request -j DROP
/sbin/iptables -A OUTPUT -p icmp -m icmp --icmp-type timestamp-reply -j DROP

и отбрасываю все неверные пакеты:

[-]
View Code Bash
/sbin/iptables -I INPUT   -m state --state INVALID -j DROP
/sbin/iptables -I FORWARD -m state --state INVALID -j DROP
/sbin/iptables -I OUTPUT  -m state --state INVALID -j DROP
Добавить в закладки

Связанные записи

3
Авг
2009

Комментарии к статье «TCP/IP SYN+FIN Packet Filtering Weakness» (1)  »

  1. Stranger says:

    I would add these rules as well:

    [-]
    View Code Bash
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
    iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
    iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
    iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
    iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

Подписаться на RSS-ленту комментариев к статье «TCP/IP SYN+FIN Packet Filtering Weakness» Trackback URL: http://blog.sjinks.org.ua/linux/605-tcp-ip-syn-fin-packet-filtering-weakness/trackback/

Оставить комментарий к записи «TCP/IP SYN+FIN Packet Filtering Weakness»

Вы можете использовать данные тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, Вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя