Sophos XG Firewall: So verhindern Sie TCP Split-Handshake-Spoof-Angriffe

Übersicht

Dieser Artikel beschreibt die Schritte zum Verhindern von Split-Handshake-Spoof-Angriffe vom Transport Control Protocol (TCP).

Dieses Kapitel umfasst die folgenden Themen:

  • Was ist ein TCP-Handshake?
  • Was ist ein TCP Split Handshake Spoof?
  • Wie behandelt Sophos XG Firewall TCP Split-Handshake-Spoof-Angriff?

Diese Anleitung gilt für folgende Sophos Produkte und Versionen:
Sophos Firewall Applicable Version: 16.01.0 onwards

Was ist ein TCP-Handshake?

Das Transport Control Protocol (TCP) steuert die meisten Internetverbindungen zwischen Computern und den Datenverkehr zwischen ihnen. Alle TCP-Verbindungen beginnen mit einem 3-stufigen TCP-Handshake. Die Schritte eines TCP-Handshakes sind nachstehend aufgeführt.

Synsynackack

  • Ein Host (der Client) sendet ein Synchronisierungs- oder SYN-Paket an einen anderen Host (den Server).
  • Der Server bestätigt das SYN-Paket des Clients durch Senden eines SYN-ACK-Pakets.
  • Der Client bestätigt das SYN / ACK des Servers und sendet ein eigenes ACK-Paket an den Server.

 

Was ist ein TCP Split-Handshake-Spoof?

Ein TCP-Split-Handshake führt zu inkonsistentem Verhalten, indem die Verbindung am Ende des Handshakes umgekehrt wird.

  • Der Client sendet das SYN-Paket wie üblich an den Server.
  • Der (bösartige) Server sendet ein SYN-Paket anstelle eines SYN-ACK-Pakets zurück.
  • Der Client antwortet falsch mit einem SYN-ACK-Paket an den Server.
  • Der Server schließt den Handshake ab, indem er ein ACK-Paket an das SYN-ACK des Clients sendet.

Dieser Handshake-Spoof impliziert im Wesentlichen die Client- und Servermaschinenfunktionalität, wobei sich der Port des kompromittierten Clients als ein Serverrezeptor verhält und der Port des Servers sich als Client-Empfänger verhält.

Wie behandelt Sophos XG Firewall TCP Split-Handshake-Spoof-Angriffe?

Standardmäßig blockiert die Stateful Inspection Firewall der Sophos XG Firewall TCP-Split-Handshake-Spoof-Angriffe, indem sie SYN- oder SYN-ACK-Pakete abbricht. Es ist keine zusätzliche Konfiguration oder kein Abonnement erforderlich, um solche Angriffe zu verhindern. Sophos XG Firewall (SF) verwaltet eine Aufzeichnung aller TCP-Verbindungen, die im aktiven Zustand beendet wurden, und löscht alle Pakete, deren zugehöriger Status / vorhergehender Datensatz nicht gefunden wurde. Daher werden gefälschte Pakete verworfen, bevor sie in den Umkreis des Netzwerks gelangen.

Die Sophos XG Firewall betrachtet diesen Datenverkehr als ungültigen Datenverkehr, und Administratoren können diese Art von Datenverkehr mithilfe des Paketaufnahmetools überwachen.

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.