Tips & Trucos: gota del apretón de mano del TCP Split

La mayoría de los ingenieros de red están familiarizados con el protocolo TCP de 3 vías como se describe en US-CERT e ilustrado a continuación:

En Resumen: una sesión TCP normalmente comienza con un cliente enviando un paquete de sincronización (SYN) a un servidor.  En respuesta, el servidor devuelve un SYN/ACK al cliente. El tercer y último paso para completar el apretón de tres vías es el cliente que envía un ACK final al servidor.

Dicho esto, menos personas conocen otras formas válidas de construir conexiones TCP, llamadas el apretón de mano dividido y el apretón de mano abierto simultáneo. La siguiente tabla ilustra cómo se comportan:

Aunque son protocolos de enlace TCP válidos, pueden confundir algunos dispositivos de seguridad de red en no procesar correctamente un flujo TCP.

Sólo para aclarar las cosas: tenga en cuenta que el Firewall de la next-gen de Palo Alto Networks maneja correctamente los apretones de mano y las sesiones abiertas simultáneas y todos los procesos de la capa 7 usando este tipo de apretón de mano!

Añadiendo esta característica, añadimos la posibilidad de simplemente soltar el protocolo de enlace de TCP Split (SYN del servidor) en el perfil de protección de zona.  Si habilita esta configuración en una zona, se eliminará cualquier paquete SYN del servidor. Esto evitará un apretón de mano completo usando cualquiera de los apretones de mano de 4 o 5-Way mostrados arriba.

Tenga en cuenta que esta configuración no está activada de forma predeterminada!

Los clientes que deseen evitar el comportamiento de enlace TCP que no sea de 3 vías pueden habilitar esta configuración en un perfil de protección de zona y asignarla a las zonas deseadas.

Esta función se agregó con PAN-OS 7,0.   Si actualiza desde una versión pan-os más baja, la configuración no se activará de forma predeterminada.  Si rebajas de pan-os 7,0, entonces la opción es simplemente eliminado.  

Habilitar esta función es bastante fácil.  Simplemente marque la casilla de verificación "separar el apretón de mano" en la red > perfiles de red > protección de la zona > protección de ataques basada en paquetes y seleccione la ficha TCP Drop:

Apretón de mano dividido

No olvide asignar este perfil de protección de zona a la zona deseada o esta configuración no hará nada.

Para panorama, la opción está disponible en las plantillas de dispositivos como se ve en la captura de pantalla de abajo.  También tenga en cuenta que, si se empuja a una versión anterior de PAN-OS, se elimina la opción.

Plantillas de dispositivos panorámicos

Hay 2 contadores globales que puede verificar para solucionar problemas del protocolo TCP Split:

• tcp_split_handshake: Este contador detectará un apretón de mano dividido. Tenga en cuenta que este contador también estaba disponible en versiones anteriores de PAN-OS. Sólo detecta un apretón de mano TCP dividido.
• flow_dos_pf_tcpsplithandshake: este es un contador de caída real que se agregó en pan-os 7,0.  Así que usted necesita para activar la función primero antes de que pueda ver este uno.

Puede leer los siguientes artículos en los contadores globales si no sabe cómo utilizarlos:

How-to-troubleshoot-Using-counters-Via-The-CLI

Qué-es-el-significado-de-global-contadores

Además, el siguiente comando CLI le mostrará si ha activado la función, la configuró en su zona y si los paquetes se han soltado con esta función:

> Mostrar zona-protección Zone Lab-200

---------------------------------------------------------
número de zonas con protección perfil: 1
---------------------------------------------------------
zona LAN-200, vsys vsys1, protegido por perfil-A
---------------------------------------------------------
IPV (4/6) Filter:
 TCP-Reject-non-SYN: enabled: Yes, (global), paquete caido: 0 filtro de
paquetes IPv4: descartar
-TCP-Split-apretón de mano: enabled:  sí, el paquete cayó: 0
filtro de paquetes IPv6:            

¡Saludos!

-Kim