TCP/IP SYN+FIN Packet Filtering Weakness

US CERT Vulnerability Note VU#464113

Сканируя Nessus парочку хостов, столкнулся с тем, что Nessus определял, что система (Linux 2.6.x) не фильтрует TCP/IP пакеты, у которых установлены флаги SYN и FIN, что, теоретически, может привести к обходу межсетевого экрана (firewall). Подробности об уязвимости в архиве Neohapsis и в базе данных US CERT (что характерно, уязвимость датируется 2002 годом). С другой стороны, RFC1644 разрешает пакеты, [...]

← Вернуться к полной версии записи «TCP/IP SYN+FIN Packet Filtering Weakness»…

Автор: ; опубликовано в: Linux; метки: iptables, Linux, уязвимость
3
Авг
2009
«
»

RSS Комментарии к статье «TCP/IP SYN+FIN Packet Filtering Weakness» (1)  »

  1. Stranger
    Август 6, 2009 в 02:07

    I would add these rules as well:

    [-]
    View Code Bash
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
    iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
    iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
    iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
    iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
    Ответить

Пожалуйста, не используйте эту форму для комментирования! Данная форма предназначена исключительно для ботов.

Оставить комментарий к записи «TCP/IP SYN+FIN Packet Filtering Weakness»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя

गते गते पारगते पारसंगते बोधि स्वाहा