¿Cuándo debo soltar un paquete con ICMP tipo 3, código 9 o 10, TCP RST o TCP ACK?

3

Esta respuesta dice que hay algunas maneras de tratar un paquete bloqueado en un firewall:

  

En cada de estos niveles, un 1er paquete IP (y cualquier otro protocolo   paquete como un paquete ESP o AH) podría recibir 4 tipos de tratamiento:

     
  1. el paquete simplemente se elimina (no cualquier forma de respuesta)
  2.   
  3. el paquete se descarta y se devuelve un ICMP tipo 3, código 9 o 10,
  4.   
  5. recibir un paquete TCP RST
  6.   
  7. recibir un paquete TCP ACK
  8.   

¿Cuál es la diferencia entre estas opciones y cuándo debo usarlas?

    
pregunta random65537 28.07.2015 - 12:46
fuente

2 respuestas

1

La diferencia está en la cantidad de información que usted proporciona al remitente del paquete.

  1. dice, esencialmente: "Nadie aquí. Tu paquete SYN fue al nirvana". Proporciona la menor cantidad de información para el otro extremo. También ralentiza a los atacantes porque tienen que esperar un tiempo de espera.
  2. dice: "Prohibido. Hay alguien aquí pero no quieren hablar contigo". Es la respuesta más útil y educada, pero puede incitar a un atacante a que intente sortear el firewall.
  3. dice: "Puerto cerrado. La máquina de destino existe pero el puerto no está en uso". Es un tanto engañoso y puede dificultar la solución de problemas de la red, o incitar a un atacante para que proceda a sondear otros puertos.
  4. dice: "Puerto abierto. Configurará tu conexión". No tiene sentido responder de esa manera a un paquete bloqueado.

La opción que elija es una cuestión de política o preferencia personal. Si te sientes paranoico, elige # 1. Si desea facilitar el trabajo de los administradores de red, elija # 2. Personalmente no veo mucho beneficio en el # 3, y el # 4 definitivamente está fuera.

    
respondido por el Tilman Schmidt 28.07.2015 - 13:18
fuente
0

Técnicamente, la lista de tratamientos es un poco más larga (evento si consideramos solo RFC): hay ICMP tipo 3, código 2 (protocolo inalcanzable). Hay ICMP tipo 3, código 4 (inaccesible, se necesita fragmentación) cuando se realiza el descubrimiento de la ruta MTU. Hay redireccionamiento ICMP (un poco esotérico, ¿eh?).

Tenga en cuenta que en estos días tendrá que lidiar con firewalls de múltiples capas / firewalls / UTM NGN o como se llamen hoy - su manejo de paquetes avanza un poco desde los días de los firewalls con estado.

Por ejemplo: considere el caso de un cortafuegos anti-spam o correo electrónico. Algunos de ellos se comportan más como un proxy transparente en lugar de un firewall. Si desea enviar un mensaje de correo electrónico a través de SMTP a través de su servidor de correo electrónico, hay un servidor de seguridad transparente en la red que intercepta todos los mensajes de correo electrónico. Antes de reenviar un solo paquete a su servidor SMTP real, aceptaría de forma transparente la conexión en nombre de su servidor de correo electrónico, recibiría su correo electrónico completo, lo escanearía y, si todo está bien solo, lo enviará a través de. Por lo tanto, puede pensar que el correo electrónico ha sido enviado, pero podría ser que el firewall antispam nunca lo haya enviado a su destino previsto.

Los sistemas IPS interrumpirían la comunicación "en pleno vuelo", en el momento en que se detecte una infracción (en función del comportamiento o las firmas). Pueden enviar un FIN, RST o no pueden enviar nada, simplemente suelte los paquetes.

En el sentido moderno de seguridad de red ... es un poco más complicado que los 4 puntos de la pregunta. Estoy de acuerdo en que, en términos de manejo de estado únicamente, estas son algunas de las principales formas de hacer las cosas.

    
respondido por el Milen 28.07.2015 - 13:46
fuente

Lea otras preguntas en las etiquetas