SYN-Flag

rxt · 16.08.2000

Hallo,

also folgendes Beispiel:
Ein privater PC hinter einer Firewall (z.B Atguard) ist angeschlossen an das Internet. Wenn ich jetzt alle Pakete die aus dem Internet kommen in denen NUR das SYN-Flag gesetzt ist abblocke, dürfte es doch nicht mehr möglich sein sich auf die TCP Basierenden Dienste des PC's einzuloggen, oder ??
Was wären z.B. Nebenwirkungen ??

RxT

twin · 16.08.2000

Hi,

also wenn ich Dich richtig verstehe, willst Du alle TCP-Pakete blocken bei denen das Syncronize-Bit gesetzt ist, um somit TCP-Verbindungen zu unterbinden.

Das erscheint mir unlogisch, denn das SYN-Bit ist Bestandteil des Handshake-Verfahrens, welches zum Verbindungsaufbau benutzt wird. Und somit wird dieses Bit für jede Verbindung gesetzt. Sperrst Du also theoretisch das SYN-Bit kommt überhaupt keine TCP-Verbindung mehr zu Stande.

Übrigens, wie willst Du eigentlich das SYN-Bit sperren ?? Gibt es da irgendeine Option in einer Firewall ?

Ich hoffe, ich habe Dich richtig verstanden, ansonsten poste doch mal genauer, was Du vorhast.

twin

------------------
<center><< Co-Administrator @ TheForum >>
 << Ein Ort nur für nette Leute ! >></center>

rxt · 16.08.2000

Ok Twin,

ich sehe den Fehler, Danke.

Pakete in denen ACK+SYN und nur ACK gesetzt sind würde ich ja vom Internet durch die Firewall passieren lassen. Ich würde nur die reinen SYN Pakete die zu mir wollen verwerfen. Outgoing SYN Pakete dürften auch weiterhin passieren. Achso, danke für die Beschreibung der anderen Flags.

RxT

twin · 16.08.2000

Hmm,

also wenn Du bei der Firewall wirklich die Möglichkeit hast Pakete mit gesetzem SYN (und auch NUR SYN), und da auch nur die Hereinkommenden zu blocken, dann wäre das eine Möglichkeit incoming TCP-Requests zu filtern, aber Dir ist auch klar, dass dann überhaupt keine Anfragen mehr von Aussen möglich sind, oder ?? Denn alle Transport-Protokolle setzen auf TCP auf und werden somit auch geblockt.

Dann kannst Du auch gleich "TCP-incoming - any - deny" setzen (je nach Firewall)

Aber bleib' mal am Ball und poste wieder, es würde mich interessieren, OK ??

twin

------------------
<center><< Co-Administrator @ TheForum >>
 << Ein Ort nur für nette Leute ! >></center>

TT · 16.08.2000

WinRoute unterstützt dies z.B., allerdings nach diesem Verfahren funktioniert kein FTP-Download mehr, kein ICQ, kein Napster, etc.
Wichtig davon ist eigentlich nur der FTP-Download, und da ist der Port 20 (ftpdata) entscheidend. Dieser muß auch die SYN-Packete empfangen können, sonst ist's Ebbe.

TT

------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. ( TT Rulez )
Admin bei Scrabbledo's InfoBoard ...besucht unsere Erotik-Zone
In kürze startet TT's NachhilfeBoard

rxt · 17.08.2000

Hi Twin,

es geht erstmal um das Verständnis ob sich auf der Basis die Firewall Regeln vereinfachen lassen.

Der drei Wege Handshake bei TCP läuft doch folgender Massen ab:

1. Client sendet SYN zum Server
2. Server antwortet hoffentlich mit ACK
3. Client bestätigt mit SYN und ACK

D.h. wenn ich weiter mit der Welt kommunizieren will darf ich ausgehende SYN Paket nicht blocken. Andersherum müsste es aber gehen wenn ich hereinkommende SYN Pakete blocke. Wohlgemerkt nur SYN nicht SYN+ACK.
Die IPChains (Paketfilter) unter Linux erlauben das blocken von Paketen mit bestimmten Falgs.

RxT

rxt · 17.08.2000

Hallo,

hier ist das was aus comp.security.firewalls zurück kam.

>what will happen if I configure my Internet firewall that it will block
>all pakets with the SYN Flag set which are comming FROM the internet.
>Pakets with ACK+SYN und ACK and all pakets (ACK,SYN,..) to the internet
>will go through the firewall.

Yes - that is a standard config. Allow specific incoming ports as
required, then disable incoming SYN packets entirely. Specifics depend on
whether this is a firewall or a workstation/server.

Also vom Prinzip war der Gedanke wohl richtig. Ich werde auf meinem Linux System mal eine entsprechende Rule aufsetzen und schauen wie es funktioniert.

Danke,
RxT

twin · 17.08.2000

Hi rxt,

gut jetzt bin ich im Bilde.

Also das Problem ist folgendes:

Um einen Verbindungsaufbau zwischen zwei Endstellen hinzubekommen, muss das Handshake in jedem Fall angewendet werden. Dabei ist es egal in welcher Richtung der Aufbau stattfinden soll (vom Client zum Server oder vom Server zum Client). Das SYN-Bit wird grundsätzlich zweimal gesendet, und zwar einmal von der Gegenstelle, die die Daten senden möchte und danach von der Gegenstelle, die bereit ist diese Daten zu empfangen. Wenn Du jetzt also alle Pakete blockst, bei denen das SYN-Bit gesetzt ist, werden nicht nur empfangene sondern auch gesendete Pakete verworfen und somit kommt keine Verbindung zu Stande.
Ich denke mal der Sinn des Blockens von Paketen, bei denen bestimmte Flags gesetzt sind ist ein anderer: Es gibt bestimmte Flags wie z.B. das URG-Flag (urgent), welches eine Dringendkennzeichnung des Pakets vornimmt, oder das PSH-Flag, bei dem die Daten sofort verarbeitet werden ohne vorher gepuffert zu werden. Solche Flags können unter Umständen ein Sicherheitsrisiko darstellen und Firewalls bieten unter Umständen deshalb die Möglichkeit Pakete mit diesen Flags zu blocken. Ich habe mich aber bisher noch nicht so ganz genau mit Firewalls auseinandergesetzt, deshalb ist das nur meine Vermutung.

Übrigens Deine Beschreibung des 3 Wege-Handshakes hat einen kleinen Fehler, denn das SYN-Flag wird im zweiten Teil gesetzt und nicht mehr im dritten Teil, denn da wird nur noch das ACK-Bit gesetzt mit der entsprechenden Sequenz-Number und der Ack-Number.

Aber wer soll sich das schon so genau merken

twin

------------------
<center><< Co-Administrator @ TheForum >>
 << Ein Ort nur für nette Leute ! >></center>

twin · 17.08.2000

Hi rxt,

für mich sieht es aber so aus, als wenn man erst die zu sperrenden Ports eintragen muss und dann für diese Ports die SYN-Bits blocken soll.

Ist das nicht ein wenig umständlich ?
Ich denke, es ist kein Unterschied, ob man ein Port sperrt oder für einen bestimmten Port das SYN-Flag blockt, das Ergebnis wird das gleiche sein.

Na ja, ich bin gespannt auf Deine Rückmeldung.

twin

------------------
<center><< Co-Administrator @ TheForum >>
 << Ein Ort nur für nette Leute ! >></center>

rxt · 18.08.2000

Hi Twin,

die Antwort aus der Newsgroup verstehe ich so. Man erlaubt die Ports die benötigt werden und bei den restlichen Ports sperrt man die hereinkommenden Pakete mit SYN-Flags.
Das würde ja Sinn machen.

Jetzt wäre da nur noch das was TT schreibt. Verstehe ich das richtig das bei einem FTP download folgendes passiert.

1. client sendet server SYN auf port 21
2. server sendet ACK+SYN auf port 21
3. client sendet ACK auf port 21
jetzt steht die control connection
4. server sendet SYN auf port 20
5. client sendet ACK+SYN auf Port 20
6. server sendet ACK auf port 20
jetzt haben wir control und data connection

Ist das so richtig ???
Was bedeutet passiver Mode (PASV) bei FTP ??

RxT

TT · 18.08.2000

Müßte so sein....aber um 100%ig sicher zu sein, zeichne ich Dir heute Abend eine FTP-Verbindung mit Up- und Download als Logfile auf...

TT

------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. ( TT Rulez )
Admin bei Scrabbledo's InfoBoard ...besucht unsere Erotik-Zone
In kürze startet TT's NachhilfeBoard

SYN-Flag

rxt

twin

rxt

twin

TT

rxt

rxt

twin

twin

rxt

TT

SYN-Flag

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums