Wie man die TCP-URG-Fahne und den Zeiger bewahrt
Resolution
Details
Die Implementierung der URG-Fahne und des Zeigers ist in den verfügbaren RFCs nicht genau definiert, einige Betriebssysteme sind anfällig für Angriffe, die diese Felder im TCP-Header nutzen. Palo Alto Networks Firewall wird standardmäßig die URG-Fahne und den Zeiger löschen. Im folgenden sind mehrere Dokumente abgebildet, die einige der Sicherheitsbedenken identifizieren, die mit der TCP-URG-Flagge und dem Zeiger verbunden sind:
- http://www.Gont.com.ar/Drafts/TCP-Security/Draft-Gont-TCP-Security-00.txt (3,9. Dringender Zeiger)
- http://tools.ietf.org/html/draft-ietf-tcpm-urgent-data-07#appendix-A
- http://Tools.ietf.org/html/Draft-IETF-tcpm-TCP-Security-02#section-3.5.4"
Um das Verhalten der Firewall zu ändern, so dass Sie die TCP-URG-Fahne und den Zeiger bewahrt, ist der CLI-Befehl (aus dem Konfigurations Modus):
# Set DeviceConfig Einstellung TCP Urgent-Data oobinline
# commit
ÜberPrüfen Sie nach der Übergabe das Feld "dringende Daten" hat sich von ' Clear ' zu ' oobinline ' geändert. Sehen Sie das Bild unten:
Der Befehl Show ist (aus dem Betriebsmodus):
> Show laufen TCP State
Die Firewall wird die TCP-URG-Fahne und den Zeiger löschen, wenn die dringende Daten Option auf "Clear" gesetzt ist.
Besitzer: Ncampagna