Una hermosa tarde de primavera, cuando no quer铆a irme a casa, y el infatigable deseo de vivir y aprender cay贸 y se quem贸 como un hierro caliente, surgi贸 la idea de
meter una caracter铆stica
perdida tentadora en un firewall llamado "
pol铆tica IP DOS ".
Despu茅s de las caricias preliminares y la familiarizaci贸n con el manual, lo configur茅 en modo
Pass-and-Log para ver el escape y la dudosa utilidad de esta configuraci贸n.
Despu茅s de un par de d铆as (para que se acumularan las estad铆sticas, por supuesto, y no porque lo olvid茅), mir茅 los registros y, bailando en el acto, aplaud铆, no hab铆a entradas en absoluto. Parece que es m谩s f谩cil: active la pol铆tica en el modo de bloqueo de todas las inundaciones, escaneos, que establecen sesiones
medio abiertas con una prohibici贸n durante una hora y duerma tranquilo con el conocimiento de que la frontera est谩 cerrada. Pero el 34 掳 a帽o de vida super贸 el maximalismo juvenil y en alg煤n lugar en la parte posterior del cerebro son贸 una voz d茅bil: "Levantemos los p谩rpados y veamos de qui茅n son las direcciones que nuestro amado firewall reconoce como maliciosos creadores de inundaciones? Bueno, en el orden del delirio ".
Comenzamos a analizar los datos obtenidos de la lista de anomal铆as. Conduzco las direcciones a trav茅s de un simple script de
Powershell y mis ojos se topan con las conocidas letras de
google .
Me froto los ojos, parpadeo durante unos cinco minutos, para asegurarme de no pensar en eso: est谩 realmente en la lista de aquellos a quienes el cortafuegos considera un creador de inundaciones malicioso, el tipo de ataque es
inundaci贸n de udp , direcciones que pertenecen a la corporaci贸n del bien.
Me rasco la cabeza, configurando simult谩neamente la captura de paquetes en la interfaz externa para su posterior an谩lisis. Los pensamientos del arco iris pasan por mi cabeza: "驴C贸mo es que algo est谩 infectado en el 谩mbito de Google? 驴Y encontr茅 esto? Bueno, bueno, bueno: premios, honores y una alfombra roja, y tu casino con blackjack y, bueno, entiendes ... "
Analizo el archivo
Wireshark resultante.
S铆, de hecho, desde la direcci贸n de la primicia de
Google , se muestran los paquetes UDP desde el puerto 443 hasta el puerto aleatorio de mi dispositivo.
Pero espera un
minuto ... Aqu铆 el protocolo cambia de
UDP a
GQUIC .
Semen Semenych ...
Inmediatamente recuerdo el informe de
High Toad de Alexander Tobol "
UDP contra
TCP o el futuro de la pila de red" (
enlace ).
Por un lado, llega una ligera decepci贸n, ni a usted, caballero, a los laureles, ni a los honores. Por otro lado, el problema es claro, queda por entender d贸nde y cu谩nto cavar.
Un par de minutos de comunicaci贸n con la Corporaci贸n del Bien, y todo encaja. En un intento por mejorar la velocidad de entrega de contenido,
Google anunci贸 en 2012 el protocolo
QUIC , que le permite eliminar la mayor铆a de las deficiencias de TCP (s铆, s铆, en estos art铆culos,
Rrraz y
Two se refieren a un enfoque completamente revolucionario, pero, para ser honesto, quiero fotochki con gatos cargados r谩pidamente, y no estas revoluciones de tu conciencia y progreso). Como lo ha demostrado la investigaci贸n adicional, muchas organizaciones ahora est谩n haciendo la transici贸n a una opci贸n de entrega de contenido similar.
El problema es m铆o y, creo, no solo en mi caso result贸 que al final hay muchos paquetes y el firewall los percibe como una inundaci贸n.
Hab铆a pocas soluciones:
1. Agregue a la lista de exclusi贸n de la
Pol铆tica de DoS en los 谩mbitos de firewall de las direcciones de
Google . Solo pensando en el rango de direcciones posibles, el ojo comenz贸 a temblar nerviosamente, la idea fue pospuesta como delirante.
2. Aumentar el umbral de respuesta para
la pol铆tica de inundaci贸n de la udp tampoco es algo falso, pero de repente alguien que es realmente malicioso se escapar谩.
3. Prohibir llamadas desde la red interna a trav茅s de
UDP al puerto
443 de salida.
Despu茅s de leer m谩s sobre la implementaci贸n e integraci贸n de
QUIC en
Google Chrome , se adopt贸 la 煤ltima opci贸n como una indicaci贸n de acci贸n. El hecho es que, amado por todos en todas partes y sin piedad (no entiendo por qu茅, es mejor obtener el insolente bozal
Firefox pelirrojo por los gigabytes de RAM consumidos),
Google Chrome inicialmente intenta establecer una conexi贸n utilizando su sufriendo
QUIC , pero si no ocurre un milagro , luego regresa a m茅todos probados como
TLS , aunque se averg眉enza de esto.
Creamos una entrada para el servicio
QUIC en el firewall:
Configuramos una nueva regla y la colocamos en alg煤n lugar m谩s alto de la cadena.
Despu茅s de la inclusi贸n de la regla en la lista de anomal铆as, silenciosa y fluida, con la excepci贸n de los infractores realmente maliciosos.
Gracias a todos por su atenci贸n.
Recursos utilizados:1.
Informe de Alexander Tobol2.
Descripci贸n del protocolo QUIC de Infopulse3.
Wikipedia4.
KB de Fortinet