Trucs et astuces: TCP Split Handshake Drop

La plupart des ingénieurs de réseau sont familiers avec la poignée de main TCP 3-Way décrite par US-CERT et illustré ci-dessous:

En bref: une session TCP commence généralement par un client qui envoie un paquet de synchronisation (SYN), à un serveur.  En réponse, le serveur renvoie un SYN/ACK au client. La troisième et dernière étape pour terminer la poignée de main 3-Way est le client envoyant un ACK final au serveur.

Cela étant dit, moins de gens connaissent d'autres façons valables de construire des connexions TCP, appelé la poignée de main partagée et la poignée de main ouverte simultanée. Le tableau ci-dessous illustre comment ils se comportent:

Tout en étant des poignées de main TCP valides, ils peuvent confondre certains périphériques de sécurité réseau en ne traitant pas correctement un flux TCP.

Juste pour clarifier les choses: Notez que le pare-feu de Palo Alto Networks Next-Gen gère correctement les poignées de main partagées et les sessions ouvertes simultanées et tous les processus de la couche 7 en utilisant ce type de poignée de main!

En ajoutant cette fonctionnalité, nous avons ajouté la possibilité de simplement supprimer TCP Split Handshake (Server SYN) dans le profil de protection de zone.  Si vous activez ce paramètre sur une zone, tout paquet SYN du serveur est supprimé. Cela empêchera une poignée de main complète en utilisant l'une des poignées de main 4 ou 5-Way montré ci-dessus.

Notez que ce paramètre n'est pas activé par défaut!

Les clients désireux d'empêcher le comportement de Handshake TCP non-3-Way peuvent activer ce paramètre dans un profil de protection de zone et l'assigner aux zones souhaitées.

Cette fonctionnalité a été ajoutée avec PAN-OS 7,0.   Si vous effectuez une mise à niveau à partir d'une version inférieure du PAN-OS, le paramètre ne sera pas activé par défaut.  Si vous déclassez de Pan-OS 7,0, l'option est simplement supprimée.  

L'Activation de cette fonction est assez facile.  Cochez simplement la case'Split handshake'sous Network > profils réseau > protection de la zone > protection contre les attaques par paquets et sélectionnez l' onglet TCP Drop :

Poignée de main partagée

N'oubliez pas d'affecter ce profil de protection de zone à la zone désirée ou cette configuration ne fera rien.

Pour Panorama, l'option est disponible dans les modèles de périphérique comme vu dans la capture d'écran ci-dessous.  Notez également que, S'il est poussé vers une version antérieure de Pan-OS, l'option est supprimée.

Modèles de périphériques panorama

Il y a 2 compteurs globaux que vous pouvez vérifier pour dépanner TCP Split Handshake:

• tcp_split_handshake: ce compteur détecte une poignée de main partagée. Notez que ce compteur était également disponible dans les versions plus anciennes de PAN-OS. Il détecte seulement une poignée de main TCP Split.
• flow_dos_pf_tcpsplithandshake: il s'agit d'un compteur de chute réel qui a été ajouté dans Pan-OS 7,0.  Donc, vous devez activer la fonction d'abord avant que vous pouvez voir celui-ci.

Vous pouvez lire les articles suivants sur Global Counters si vous ne savez pas comment les utiliser:

Mode de dépannage-utilisation des compteurs-via-le-CLI

Ce qui-est-la-signification-de-Global-compteurs

En outre, la commande CLI suivante vous montrera si vous avez activé la fonctionnalité, l'a configurée dans votre zone et si des paquets ont été supprimés à l'Aide de cette fonctionnalité:

> Show zone-zone de protection Lab-200

---------------------------------------------------------
nombre de zones avec profil de protection: 1
---------------------------------------------------------
zone LAN-200, VSys vsys1, Profil protégé-A
---------------------------------------------------------
VPI (4/6) filtre:
 TCP-Reject-non-syn: activé: Oui, (Global), paquet A chuté: 0
IPv4 filtre de paquets:
Ignorer-TCP-Split-Handshake: activé:  Oui, le paquet a chuté: 0
filtre de paquets IPv6:            

A bientôt !

-Kim