Sysgate: Ebay und Firewall > allow non-first fragment

#1 Hallo,

auf der Suche nach einer neuen Firewall habe ich mal Outpost ausprobiert. Im Gegensatz zu vielen anderen war ich aber davon nur wenig begeistert - weil äüßerst instabil - und bin jetzt bei Sygate 5.0 gelandet, die mir an sich ganz gut gefällt.

Nach einem Besuch von www.ebay.de und bin ich aber auf eigenartige Verbindungen im LogFile gestoßen, die ich mir nicht erklären kann. Obwohl ich in den "Advanced Rules" für meine Programme nur ganz bestimmte Ports freigegeben habe (z.B. Browser 80,443) wurden eingehende TCP Verbindungen von Ebay-Servern auf beliebige Ports meines Rechners klaglos erlaubt. Mit der Begründung "allow non-first fragment".

Kann mir jemand erklären, was das zu bedeuten hat und ob dies ein allgemeines Sicherheitsrisiko darstellt.

Danke & Grüße aus Bayern,
Schorschi

#2 Was ich hierzu finden konnte, ist, daß es hier und da in einem Atemzug mit folgenden klassischen Angriffen genannt wird.

1. Ping of Death Resistance
2. Port Scanning Detection
3. SYN Flooding Detection
4. IP Options Resistance
5. Non-First Fragment
6. Tiny Fragment
7. LAND Attack
8. Fragmentation Overlapped Attack

Hast Du dich mal in der Konfiguration der Firewall umgeschaut, gibt es irgendewlche Hinweise, möglicherweise eine Hilfe-Datei ?
Poste doch mal einen aussagekräftigen Teil deiner Log-File.
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Ich galube, das kommt näher an die Sache ran ....

Zitat

Fragments are a problem in that only the first fragment in an IP packet actually contains information required to decide whether the packet as a whole may pass through the filter. However, if the first fragment is blocked, and all non-first fragments are permitted, then the packet will never be reassembled at the destination, and will thus be dropped. Therefore, it is usual to permit all non-first IP fragments through. ......

.
http://cq-pan.cqu.edu.au/david-jones/Projects/Students/1995_Elizabeth_Tansley/packet.html
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Hallo zusammen,
Hallo Joschi,

Hab nochmal gesucht - auch bei der Sygate Online Hilfe - aber leider nichts gefunden.
Aus Neugierde, weshalb sich die Firewall von Sygate so verhält und um zu prüfen, ob das Problem auch über ebay hinaus besteht, habe ich bei pcflank.com mal einen Scan gemacht. Obwohl mir dort bescheinigt wurde, daß meine Firewall i.O. und die Ports "stealth" sind, wurden meine Sorgen bei einem Blick in's Logfile nicht wengier. Wirklich ettliche Verbindungen "Incoming" egal welches Protokoll (ICMP, UDP,...) werden zugelassen - wieder mit der Bemerkung "Allow non-first fragment".
Hier ein Auszug aus dem Logfile:


Bin jetzt ein bisschen ratlos. Zumal wenn man bedenkt, daß ich z.B. als "advanced rule" sämtliche ICMP-Verbindungen blockiert habe.

Wenn also noch jemand Rat weiß, wäre ich sehr froh, denn ich würde mich nur ungern so schnell wieder von Sygate 5.0 trennen.

Dankeschön,
Schorschi

#5 Hi,
Hat die Sygate nicht noch ein integriertes IDS? Könnte es nicht daran liegen?
nur ne Vermutung.
Grüsse
Smaggmampf

#6 "Eine" Information, welche Dich Dich über das Internet erreicht, kommt in einer Vielzahl von Päkchen (max.-Größe 1500 Byte) daher. Wäre das erste bereits fragmentiert, so würde es wohl geblockt werden, die restlichen zugehörigen Datenpäckchen dieses Datenstroms ebenfalls. Ist das Erste Pake einer ganzen "Serie" ok, so werden die nachfolgenden (non-first) erlaubt, da ihre Informationen zu dem ersteren gehören. Die Datenpäkchen werden dann auf deinem PC wieder zusammengesetzt. Soweit ein Versuch das selbst zu verstehen
ICMP ? mhhh....
Ich denke, dass es in der Firewall noch einen Schalter geben muss, die dieses "allow nonfirst" verhindert (sofern das überhaupt sinvoll wäre).
Möglich auch, dass Sygate etwas protokolliert, was in anderen Firewalls durchaus ebenso üblich ist, nur Sygate stellt das eben sehr detailiert dar.
Ich würde den Image mal den PC-Flank-Experten schicken. Ich bin sicher, dass die hier mehr wissen.
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 Ich stell mir das mit none first etwas anders vor als Joschi oder hab seine erklärung falsch verstanden. Ich nehme 2 Packete in den ersten steht der header drin und in den 2 stehen Daten drin. wenn jetzt das 2 packet ankommt lässt die Firewall es durch und wartet auf das 1 Packet wird dieses Packet durchgelassen baut der pc die Packete zusammen und verarbeitet sie wird das Packet geblockt oder kommt nicht an wird das 2 packet von tcp/ip stack verworfen

Falls ich falsch liege sagt es mit bitte ich bin mir nämlich auch nicht sicher und habe noch nie Sygate benutzt
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#8 Jedes Paket hat einen Header und einen Payload! Fragmentiertes Paket bedeutet, daß irgendwo im Netz die MTU kleiner war als das Paket und somit dieses verkleinert werden mußte und so Fragmente entstehen.

Das nur mal zu Begriffsklärung.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Hallo zusammen.
Falls es noch jemanden interessiert, die Firewall lässt Verbindungen, die zu bereits bestehenden Verbindungen gehören durch. Diese ist in diesem Fall die zu Ebay auf Port 80 (normal)
Ebay stellt über die anderen Ports sicher, dass die Anfrage auch tatsächlich von diesem Rechner kommt.
Wenn diese Ports dicht sind oder die Anfrage fallen lassen besteht kein Zugriff auf die Suche und MyEbay. (Wäre also dumm!)

Wen die Ports interessieren findet diese unter Linux in der /etc/services
Unter windows werdet ihr diese in der \Windows\system32\drivers\etc wahrscheinlich nicht finden.