Quando devo eliminare un pacchetto con ICMP di tipo 3, codice 9 o 10, TCP RST o TCP ACK?

Naviga le tue risposte
3

Questa risposta dice che ci sono alcuni modi per gestire un pacchetto bloccato su un firewall:

At each of these levels a 1st IP packet (and any other protocol packet as an ESP or AH packet) might receive 4 types of treatment:

  1. the packet is simply dropped (not any form of reply)
  2. the packet is droped and an ICMP type 3, code 9 or 10 is returned,
  3. receive a TCP RST packet
  4. receive a TCP ACK packet

Qual è la differenza tra queste scelte e quando dovrei usarle?

    
posta random65537 28.07.2015 - 12:46
fonte

2 risposte

1

La differenza è nella quantità di informazioni fornite al mittente del pacchetto.

  1. dice, in sostanza: "Nessuno qui. Il tuo pacchetto SYN è andato al nirvana". Fornisce la minima quantità di informazioni all'altra estremità. Rallenta anche gli aggressori perché devono aspettare un timeout.
  2. dice: "Proibito: c'è qualcuno qui ma non vogliono parlarti". È la risposta più utile e educata, ma potrebbe incitare un utente malintenzionato a tentare di aggirare il firewall.
  3. dice: "Porta chiusa: la macchina di destinazione esiste ma la porta non è in uso". È in qualche modo fuorviante e potrebbe ostacolare la risoluzione dei problemi di rete, o incitare un utente malintenzionato a continuare a sondare altre porte.
  4. dice: "Porta aperta. Configura la tua connessione". Non ha senso rispondere in questo modo a un pacchetto bloccato.

Quale di questi si sceglie è una questione di politica o preferenza personale. Se ti senti paranoico, scegli il n. 1. Se si desidera semplificare il lavoro degli amministratori di rete, scegliere # 2. Personalmente non vedo molti benefici in # 3, e il # 4 è decisamente fuori.

    
risposta data 28.07.2015 - 13:18
fonte
0

Tecnicamente, l'elenco dei trattamenti è un po 'più lungo (evento se consideriamo solo le RFC) - c'è ICMP di tipo 3, codice 2 (protocollo irraggiungibile). C'è ICMP tipo 3, codice 4 (irraggiungibile, frammentazione necessaria) quando si esegue il rilevamento del percorso MTU. C'è redirect ICMP (un po 'esoterico, eh?).

Ricorda che in questi giorni avrai a che fare con firewall multistrato / firewall NGN / UTM o qualsiasi altra cosa venga chiamata oggi - la loro gestione dei pacchetti è leggermente migliorata rispetto ai giorni del firewall stateful.

Ad esempio: considera il caso di un firewall anti-spam o e-mail. Alcuni di loro si comportano più come un proxy trasparente piuttosto che come un firewall. Se desideri inviare un messaggio di posta elettronica tramite SMTP utilizzando il tuo server di posta elettronica, un firewall trasparente si trova sulla rete e intercetta tutti i messaggi di posta elettronica. Prima di inoltrare anche un singolo pacchetto al tuo attuale server SMTP, accetterebbe in modo trasparente la connessione per conto del tuo server di posta elettronica, ricevere la tua e-mail per intero, scansionarlo e se tutto è OK solo allora lo invierà attraverso. Quindi potresti pensare che l'e-mail sia stata inviata, ma potrebbe benissimo essere che il firewall anti-spam non l'abbia mai inoltrato alla destinazione desiderata.

I sistemi IPS interrompono la comunicazione "a metà volo", nel momento in cui viene rilevata una violazione (basata sul comportamento o sulle firme). Possono inviare un FIN, un RST o non inviare nulla, basta rilasciare i pacchetti.

Nel senso moderno della sicurezza della rete ... è un po 'più complicato dei 4 punti della domanda. Sono d'accordo sul fatto che in termini di gestione dello stato solo questi sono alcuni dei principali modi di fare le cose.

    
risposta data 28.07.2015 - 13:46
fonte

Leggi altre domande sui tag

Metodologie per test e benchmark del software antivirus L'esecuzione di un servizio DNS abilitato DNSSEC è difficile quanto l'esecuzione di una CA?