Verbindungsblockade auf Ciscos Pix
Ciscos Pix-Firewalls lassen Verbindungsversuche von Rechnern nicht mehr zu, nachdem gespoofte, manipulierte TCP-SYN-Pakete die Firewall passiert haben.
Ciscos Pix-Firewalls lassen Verbindungsversuche von Rechnern nicht mehr zu, nachdem gespoofte, manipulierte TCP-SYN-Pakete die Firewall passiert haben. Dadurch lieĂźen sich beispielsweise gezielt Rechner im Netzwerk am Abholen von E-Mails hindern, aber auch weitere Szenarien zur Netzwerkdienst-Blockade sind denkbar.
Der Fehler tritt zu Tage, wenn ein Angreifer TCP-SYN-Pakete mit fehlerhaften Prüfsummen und denselben Quell- und Ziel-Adressen sowie -Ports wie erwartungsgemäß der abzuklemmende Rechner später durch die Firewall schickt. Die Prüfsummen der Pakete werden von den Cisco Pix nicht überprüft und an das Ziel weitergeleitet, was eine halboffene Verbindung erzeugt, die auf Antwort wartet.
Da der Zielrechner aber das fehlerhafte Paket stillschweigend verwirft, wird die Verbindung bis zum Timeout-Wert (standardmäßig zwei Minuten) offen gehalten. Versucht nun der "echte" Rechner, diese Verbindung aufzubauen, stimmen die Zeitstempel der TCP-Pakete nicht mit der erwarteten Sequenznummer überein und sie werden von der Pix verworfen.
Betroffen von der Schwachstelle sind Ciscos Pix in Version 6.3 sowie 7.0 und möglicherweise auch ältere. In einer Antwort auf die ursprüngliche Fehlermeldung beschreibt der Cisco-Mitarbeiter Randy Ivener mögliche Workarounds zur Lösung des Problems. Bei der Pix 7.0 soll beispielsweise die Checksummen-Prüfung aktiviert werden, was aber laut Ivener zu Performance-Einbußen führen könnte und daher vorher auf Umsetzbarkeit in der Produktivumgebung getestet werden sollte.
Siehe dazu auch: (dmk)
- Cisco PIX TCP Connection Prevention, Security Advisory von Konstantin Gavrilenko auf Full Disclosure
- Cisco PIX TCP Connection Prevention, Antwort von Randy Ivener auf Full Disclosure
