El popular Firewall-1 de Check Point se ve amenazado ante ataques de denegación de servicios si se realizan envíos de múltiples fragmentos incompletos de paquetes de datos.
Es posible forzar a Firewall-1 para que consuma el 100% de los recursos del procesador mediante el envío de paquetes fragmentados ilegalmente construidos. Las reglas del firewall no pueden prevenir este ataque, que además no llegará a ser registrado en el log. El ataque se lleva a cabo debido a que Firewall-1 no inspecciona ni guarda en el log los paquetes fragmentados hasta que estos son ensamblados.
Como los paquetes empleados en el ataque nunca llegan a ser completamente ensamblados, FW-1 no inspecciona ni guarda en el log los paquetes fragmentados, lo que impide que la base de reglas de la herramienta pueda actuar contra el ataque. Hay que tener en cuenta que existen un gran número de estrategias y formas de construir un ataque por fragmentación de paquetes, aunque para la demostración del problema se ha empleado una utilidad conocida con el nombre de jolt2.
Check Point reconoce el problema y trabaja para la elaboraci¢n definitiva, mientras tanto para evitar verse afectado por un ataque de este tipo, se puede inhabilitar el log de la consola con el comando:
$FWDIR/bin/fw ctl debug -buf
Que deber a_adirse al comando $FWDIR/bin/fw/fwstart para que se active cuando el firewall se reinicie.
M s informaci¢n:
Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1312
Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&msg=Pine.LNX.4.10.10006051908190.31513-100000@otto.spitzner.net
Alerta de Check Point:
http://www.checkpoint.com/techsupport/alerts/ipfrag_dos.html
VNUnet:
http://www.vnunet.com/News/1102869
Computerworld:
http://www.computerworld.com/home/print.nsf/(frames)/000607E692?OpenDocument& f
Antonio Ropero
antonior@hispasec.com
