Tipps & Tricks: TCP Split Handshake Drop

Die meisten Netzwerk Ingenieure kennen den TCP-3-Wege-Handshake, wie er von US-CERT beschrieben und unten illustriert wird:

Kurzum: eine TCP-Session beginnt typischerweise mit einem Client, der ein Synchronisations Paket (SYN) an einen Server sendet.  Als Reaktion schickt der Server einen SYN/ACK an den Client zurück. Der dritte und letzte Schritt, um den 3-Wege-Handshake zu vervollständigen, ist der Client, der ein letztes ACK an den Server sendet.

Allerdings wissen weniger Menschen über andere gültige Möglichkeiten, TCP-Verbindungen zu bauen, genannt Split Handshake und gleichzeitiger offener Handschlag. Die folgende Tabelle zeigt, wie Sie sich Verhalten:

Während Sie gültige TCP-Handshakes sind, können Sie einige Netzwerk-Sicherheitsgeräte dazu verwirren, einen TCP-Flow nicht richtig zu verarbeiten.

Um es klar zu sagen: Beachten Sie, dass die Palo Alto Networks Next-Gen Firewall mit dieser Art von Handschlag korrekt geteilte Handshakes und gleichzeitige offene Sessions und alle Layer 7-Prozesse handhabt!

Durch das Hinzufügen dieser Funktion haben wir die Möglichkeit hinzugefügt, TCP Split Handshake (Server SYN) einfach in das Zonen Schutzprofil zu fallen.  Wenn Sie diese Einstellung auf einer Zone aktivieren, wird jedes SYN-Paket vom Server gelöscht. Dadurch wird ein kompletter Handschlag mit einem der oben gezeigten 4 oder 5-Wege-Handshakes verhindert.

Beachten Sie, dass diese Einstellung standardmäßig nicht aktiviert ist!

Kunden, die ein nicht-3-Wege-TCP-Handshake-Verhalten verhindern wollen, können diese Einstellung in einem Zonen Schutzprofil aktivieren und den gewünschten Zonen zuordnen.

Diese Funktion wurde mit PAN-OS 7,0 hinzugefügt.   Wenn Sie von einer niedrigeren PAN-OS-Version aktualisieren, wird die Einstellung standardmäßig nicht aktiviert.  Wenn Sie von PAN-OS 7,0 herabstufen, dann wird die Option einfach entfernt.  

Diese Funktion zu aktivieren, ist einfach genug.  Klicken Sie einfach auf das Kästchen "Split Handshake" unter Netzwerk > Netzwerk Profile > Zonen Schutz > Paket basierter Angriffs Schutz und wählen Sie den TCP Drop Tab:

Split Handshake

Vergessen Sie nicht, dieses Zonen Schutzprofil der gewünschten Zone zuzuordnen, sonst wird diese Konfiguration nichts tun.

Für Panorama ist die Option in Geräte Vorlagen verfügbar, wie im Screenshot unten zu sehen.  Beachten Sie auch, dass, wenn Sie auf eine frühere PAN-OS-Version geschoben werden, die Option gelöscht wird.

Panorama-Geräte Vorlagen

Es gibt 2 globale Zähler, die Sie überprüfen können, um TCP Split Handshake zu stören:

• tcp_split_handshake: Dieser Zähler wird einen geteilten Handschlag erkennen. Beachten Sie, dass dieser Zähler auch in älteren PAN-OS-Versionen verfügbar war. Es erkennt nur einen TCP Split Handshake.
• flow_dos_pf_tcpsplithandshake: Dies ist ein tatsächlicher Drop-Counter, der in Pan-OS 7,0 hinzugefügt wurde.  So müssen Sie das Feature zuerst aktivieren, bevor Sie dieses sehen können.

Sie können die folgenden Artikel über globale Zähler lesen, wenn Sie nicht wissen, wie Sie Sie verwenden sollen:

Wie-zu-Troubleshoot-mit-Zählern-via-the-CLI

Was-ist-die-Bedeutung-der-globalen-Zähler

Außerdem wird Ihnen der folgende CLI-Befehl angezeigt, wenn Sie die Funktion aktiviert haben, Sie auf ihre Zone konfiguriert haben und wenn Pakete mit dieser Funktion gelöscht wurden:

> Ausstellungszone-Schutzzone Lab-200

---------------------------------------------------------
Anzahl der Zonen mit Schutzprofil: 1
---------------------------------------------------------
Zone LAN-200, Vsys vsys1, Profil geschützt-ein
---------------------------------------------------------
IPV (4/6) Filter:
 TCP-ablehnen-Non-SYN: aktiviert: Ja, (Global), Paket gelöscht: 0
IPv4-Paket Filter:
ablegen-TCP-Split-Handshake: aktiviert:  Ja, Paket fallen gelassen: 0
IPv6-Paketfilter:            

Prost!

-Kim