El Log muestra FTP: PASV response bounce attack dropped

El Log muestra FTP: PASV response bounce attack dropped

 

Imagen
El dispositivo SonicWall ha detectado y bloqueado un posible ataque de denegación de servicio de respuesta PASV (pasivo). Los paquetes de respuesta PASV de FTP pueden ser falsificados para permitir que un atacante establezca conexiones TCP arbitrarias a servidores FTP o clientes ubicados detrás de algunos firewalls.

A continuación se ofrece una explicación de cómo manejamos el tráfico FTP:

Si la protección de Bounce FTP está activada y vemos un comando PORT y la dirección IP especificada en el comando PORT es diferente del origen del comando o el número de puerto es menor o igual que 1024, entonces lo consideramos un ataque de rebote y se deja caer. Los clientes legítimos nunca deben usar una IP distinta a la suya, y no deben usar puertos <= 1024. Y los servidores de comportamiento correcto también deben ignorar los puertos <= 1024, como se describe en RFC 2577.


Para las conexiones FTP pasivas, cuando un cliente envía un comando PASV, el servidor responde con una dirección IP pasiva y un número de puerto. El SonicWall espera que el servidor envíe su dirección IP privada interna en su respuesta al comando PASV y luego transforma la IP privada en la dirección IP WAN del SonicWall.

Si se bloquean sesiones FTP legítimas, siga estas directrices:

1- Asegúrese de que la dirección IP suministrada a los clientes por el servidor FTP en su respuesta al comando PASV es la misma que la dirección IP    privada interna del servidor. Esta dirección debe representar la IP privada del LAN interno del servidor. Compruebe la configuración del software del servidor FTP y la implementación de la traducción de direcciones de red (NAT) en el cortafuegos o el enrutador delante del servidor.
2- Si se utilizan puertos no estándar para la sesión FTP, asegúrese de que el número de puerto sea mayor que 1024.

 

La protección de ataque de rebote de FTP se puede activar o desactivar en la página Diag del SonicWall - http://<SonicWall Management IP address>/diag.html
Imagen