Risorse

Tag: firewall

firewall
Scritto da Fabio Viganò
Drop VS Reject: qual è la differenza
04 Settembre 2013

Molti firewall hanno come impostazione predefinita il drop silente dei pacchetti al posto del reject per le regole di negazione del traffico. Qual è la differenza? E' veramente meglio il drop del reject? Se non vi siete mai posti la domanda, la risposta vi sorprenderà! Il controllo del traffico I firewall normalmente mettono a disposizione tre opzioni per il controllo del traffico: Pass o Accept: lascia che il traffico passi; Block o Drop: scarta il pacchetto in modo silente senza generare messaggi di risposta; Reject: rifiuta il pacchetto e risponde con un pacchetto ICMP type3, code 13 (type=Destination Unreachable, Code=Communication administratively prohibited). Cosa succede durante un port scan? Uno scanner di rete identifica host e stato delle porte basandosi sulle risposte ricevute ai pacchetti sonda inviati al sistema. Le risposte che può ricevere sono due: TCP SYN/ACK: la porta è aperta; TCP RST/ACK: la porta è chiusa. Allargando il concetto a livello Internet, le risposte che si possono ottenere sono le seguenti: host off-line: viene restituito un pacchetto ICMP host unreachable dal router a monte; la rete a cui è collegato l'host è off-line: viene restituito un pacchetto ICMP network unreachable dal router a monte; un host o un firewall effettuano un reject: viene restituito un pacchetto ICMP communication administratively prohibited; un host o un firewall effettuano un drop/block: non viene restituito alcun pacchetto. Fate attenzione agli ultimi due comportamenti, perchè riguardano proprio il drop e il reject di un pacchetto. Se viene effettuato un drop, lo scanner non riceve nulla in risposta ai pacchetti sonda, mentre se viene effettuato un reject allora riceve un pacchetto ICMP di risposta.

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per ricevere gli aggiornamenti di Achab