jueves, 15 de junio de 2000

Firewall-1 vulnerable ante ataques de denegación de servicio

El popular Firewall-1 de Check Point se ve amenazado ante ataques de
denegación de servicios si se realizan envíos de múltiples fragmentos
incompletos de paquetes de datos.
Es posible forzar a Firewall-1 para que consuma el 100% de los
recursos del procesador mediante el envío de paquetes fragmentados
ilegalmente construidos. Las reglas del firewall no pueden prevenir
este ataque, que además no llegará a ser registrado en el log. El
ataque se lleva a cabo debido a que Firewall-1 no inspecciona ni
guarda en el log los paquetes fragmentados hasta que estos son
ensamblados.

Como los paquetes empleados en el ataque nunca llegan a ser
completamente ensamblados, FW-1 no inspecciona ni guarda en el log los
paquetes fragmentados, lo que impide que la base de reglas de la
herramienta pueda actuar contra el ataque. Hay que tener en cuenta que
existen un gran número de estrategias y formas de construir un ataque
por fragmentación de paquetes, aunque para la demostración del
problema se ha empleado una utilidad conocida con el nombre de jolt2.

Check Point reconoce el problema y trabaja para la elaboración
definitiva, mientras tanto para evitar verse afectado por un ataque de
este tipo, se puede inhabilitar el log de la consola con el comando:

$FWDIR/bin/fw ctl debug -buf

Que deberá añadirse al comando $FWDIR/bin/fw/fwstart para que se
active cuando el firewall se reinicie.

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1312

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&msg=Pine.LNX.4.10.10006051908190.31513-100000@otto.spitzner.net

Alerta de Check Point:
http://www.checkpoint.com/techsupport/alerts/ipfrag_dos.html

VNUnet:
http://www.vnunet.com/News/1102869

Computerworld:
http://www.computerworld.com/home/print.nsf/(frames)/000607E692?OpenDocument&~f




Antonio Ropero
antonior@hispasec.com