Cortafuegos - Se ha detectado un ataque anómalo a la bandera TCP

Creación - Actualización
Serhii Boiarynov
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si hay preguntas o discrepancias sobre la exactitud de la información en la versión traducida, por favor revise el artículo original aquí:Versión Original

Esta guía paso a paso muestra lo que puede hacer si se detecta un ataque anormal bandera TCP.

Introducción

Un mensaje "Ataque de indicador TCP anormal detectado" de un cortafuegos indica que el cortafuegos ha detectado un patrón de tráfico de red potencialmente malicioso que implica indicadores TCP (Protocolo de control de transmisión). Las banderas TCP son bits de control dentro de la cabecera TCP que se utilizan para gestionar la conexión entre dos dispositivos durante la transmisión de datos. Controlan acciones como el establecimiento de una conexión, el acuse de recibo de los datos recibidos y la finalización de la conexión.

Un ataque de bandera TCP implica la manipulación de estos bits de control de una manera anormal o no intencionada, con el objetivo de explotar vulnerabilidades en el protocolo TCP o en los dispositivos implicados en la comunicación. Este tipo de ataque puede utilizarse para eludir las medidas de seguridad, obtener acceso no autorizado, interrumpir la comunicación o realizar otras acciones nefastas.

Recuerde, la prevención es clave, y un enfoque de seguridad de múltiples capas es crucial para proteger las redes de diversas amenazas cibernéticas, incluidos los ataques de banderas TCP anormales.

Ataques TCP Flag detectados en el cortafuegos

log1.PNG

Este problema se produce cuando el dispositivo recibe paquetes con:

(1) TODOS los bits de banderas TCP están activados al mismo tiempo.

(2) Los bits SYN y FIN están activados al mismo tiempo.

(3) Los bits SYN y RST se activan al mismo tiempo.

(4) Los bits FIN y RST se activan al mismo tiempo. (Suele ocurrir en Mac OS)

(5) Sólo se activa el bit FIN.

(6) Sólo se activa el bit PSH.

(7) Sólo se activa el bit URG.

Por lo tanto, el dispositivo detecta y considera estos paquetes como ataques.

Si está seguro de que estos paquetes son seguros, puede iniciar sesión en el dispositivo e introducir los siguientes comandos CLI para desactivar esta detección:

Router(config)# secure-policy abnormal_tcp_flag_detect deactivate

Modelos más antiguos (usg100,200) firmware 3.30 Versión =

dyn_repppp_1


Puede intentar evitar estos paquetes centrándose en la prevención y mitigación más que en una eliminación inmediata, ya que el ataque suele ser un síntoma de un problema de seguridad mayor. Los administradores del cortafuegos y de la red deben aplicar medidas de seguridad para protegerse contra este tipo de ataques. La actualización periódica de las reglas del cortafuegos, la configuración de controles de acceso adecuados y el uso de sistemas de detección y prevención de intrusiones (IPS) pueden ayudar a salvaguardar la red de los ataques TCP flag.

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 3 de 7
Compartir