Re: Statefull Connections - IP Half Scan - Timeoutproblem?

---

• From: "Jens Baier" <jensbaier@xxxxxxxxxxxx>
• Date: Sat, 21 Jan 2006 14:14:15 +0100

---

Hi,

> Könnten unterschiedliche Timeouts für Statefull Connections so etwas
> ebenfalls verursachen? -> Der äussre Router hält die von intern
> initierte
> Verbindung noch offen, während der innere Router (ISA) diese bereits
> geschlossen hat, dazu müsste dann aber noch ein /verspätetes/ Paket
> vom
> Webserver hier eintreffen?

das koennte schon sein. Es koennte sich um sogenannte "Delayed Packets"
oder "Impatient Applications handeln
Deleyed Packets treten dann auf, wenn ein Webserver Anfragen zum
Beispiel nur sehr langsam beantworten kann. ISA nimmt an, dass die
Verbindung durch einen Timeout beendet wurde, in Wirklichkeit gibt der
Webserver aber noch einen Response welchen ISA dann aber als Port Scan
oder Intrusion interpretiert.
Impatient Applications tauchen dann auf, wenn ein Client eine
Verbindung zu einem Webserver aufbaut und sofort wieder schliesst
(durch schliessen des Browsers z. B.). ISA sendet diese "Close Session"
an den Webserver, dieser hat aber schon auf die Anfrage desClients
geantwortet und laeuft nun wieder am ISA mit einem Portscan / Intrusion
auf, da ISA die Verbindung ja nicht mehr kennt

> Oder welche Möglichkeiten (auch böser Absichten) gäbe es noch, den
> zweiten
> Router mit dieser Scanmethode zu bedrohen?

eigentlich gar keinen. ISA schuetzt sich ja wie jede bessere Firewall
gegen einen IP Halfscan, indem es die Verbindungsversuche erkennt und
kein Three Way Handshake zu Stande kommt.

Gruss Jens
www.nt-faq.de


.

---

• Follow-Ups:
  • Re: Statefull Connections - IP Half Scan - Timeoutproblem?
    • From: Thomas Wildgruber

• References:
  • Statefull Connections - IP Half Scan - Timeoutproblem?
    • From: Thomas Wildgruber

• Prev by Date: Statefull Connections - IP Half Scan - Timeoutproblem?
• Next by Date: Re: FTP (z.b. Total Commander)+ ISA 2004
• Previous by thread: Statefull Connections - IP Half Scan - Timeoutproblem?
• Next by thread: Re: Statefull Connections - IP Half Scan - Timeoutproblem?
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: Ein Nicht-SYN-Paket ... Applications handeln Deleyed Packets treten dann auf, wenn ein Webserver ... ISA nimmt an, dass ... Client eine Verbindung zu einem Webserver aufbaut und sofort wieder ... (microsoft.public.de.german.isaserver) Re: ISA auf Webserver ... >zusaetzliche Komponenten auf einer Firewall zu installieren. ... was soll dieser Webserver machen? ... Dabei bildet das dritte NIC die DMZ, ... ISA als Edgefirewall und dann interner Webserver, ... (microsoft.public.de.german.isaserver) Re: Webveröffentlichungsregel... ... > Ich kann vom ISA die Seite schonmal gar nicht aufrufen! ... Um vom ISA auf den Webserver zu ... Das Protokoll sollte HTTP sein beim Zugriff auf einen Webserver. ... dass der ISA eine Verbindung initiert (1. ... (microsoft.public.de.german.isaserver) Re: Statefull Connections - IP Half Scan - Timeoutproblem? ... > oder "Impatient Applications handeln ... > Verbindung durch einen Timeout beendet wurde, ... > Webserver aber noch einen Response welchen ISA dann aber als Port Scan ... (microsoft.public.de.german.isaserver) Re: ISA auf Webserver ... zusaetzliche Komponenten auf einer Firewall zu installieren. ... > Bringt ein ISA auf dem Webserver etwas? ... was soll dieser Webserver machen? ... Dritte Moeglichkeit: ISA als Edgefirewall und dann interner Webserver, ... (microsoft.public.de.german.isaserver)

---

We are proud to have Web Hosting and Rack Housing from 9 Net Avenue Deutschland.
(18)