8.2. Servicios
47
una buena idea, ya que puede causar que la red protegida sea vulnerable a muchos
tipos de ataques, ej. DoS (Denial of Service) en particular.
Para resolver este problema, los firewalls D-Link pueden ser configurados para pasar un
mensaje de error ICMP sólo si está relacionado con una conexión existente a un
servicio.
Protección de Flood SYN (SYN Relay)
Un mecanismo denominado como "SYN Relay" puede ser habilitado en el firewall para
proteger las direcciones de destino utilizados por un servicio desde el flujo SYN.
El ataque SYN flood es lanzado por un envío de solicitudes de conexión TCP
más rápido de lo que un mecanismo puede procesar. El agresor envía solicitudes SYN a
un servidor con una dirección de fuente burlada, la cual jamás responderá al
SYN/ACK del servidor. Cada solicitud SYN llenará una nueva conexión TCP de
la tabla de conexión del servidor; cuando todas las conexiones en la tabla estén
esperando por confiar y la tabla esté llena, el servidor no aceptará ninguna nueva
solicitud entrante. Las solicitudes de usuarios legítimos son luego ignorados.
El mecanismo "SYN Relay" cuenta los ataques escondiendo el servidor protegido
detrás del firewall. El firewall recibe solicitudes SYN y se asegura de que la
conexión sea válida (esto es, el SYN/ACK respondida desde la fuente)
antes de enviar un paquete SYN al servidor. Si luego de cierto tiempo, no es recibido
ACK por el firewall, la conexión es suspendida.
Application Layer Gateway (ALG)
Una application layer gateway puede ser especificada para manejar diferentes servicios.
Mayor información puede ser encontrada en
18 Application Layer Gateway (ALG).
Para un servicio habilitado ALG, puede ser definido el número máximo de sesiones
permitidas al utilizar este servicio.
Guía de Usuario de los Firewalls D-Link