TCP Split Handshake in azione

Ritieni che il TCP three-way handshake sia l'unico metodo sicuro per stabilire connessioni TCP? L'idea originale alla base del TCP Split Handshake risiede nella volontà di spezzare la sequenza ACK+SYN inviata dal server, a fronte di una richiesta iniziale di SYN da parte del client, in due differenti stati logici. Il pacchetto di ACK è inviato regolarmente con il valore numerico incrementato di uno mentre il pacchetto di SYN viene inviato senza il flag SYN settato. Il client si aspetta la classica corretta sequenza e accetta entrambi i pacchetti, ma invece di inviare un ACK finale ed entrare nella condizione finale di ESTABLISHED, completando così  il circuito virtuale TCP Layer 4, invia a sua volta una sequenza ACK+SYN e si pone nella condizione di ESTABLISHED solo dopo l'arrivo dell'ACK da parte del server compromesso.

Una ulteriore semplificazione permette di ridurre il numero dei pacchetti trasmessi tralasciando il pacchetto di ACK inziale che il client si aspetta come risposta dal server perché superfluo in questa configurazione.

Questo meccanismo comporta il rovesciamento delle parte durante la connessione: non è più infatti il client locale che si connette al server remoto ma, al contrario è il server remoto compromesso che esegue una connessione al TCP Layer 4 verso il client locale. È però necessario che l'inizializzazione della sequenza segua il classico processo di connessione client-server.

Molte prove sono state eseguite con differenti dispositivi consumer configurati con sistemi operativi differenti come Windows XP, Linux e Mac OS X; tutti si sono comportati nel modo descritto evidenziando la debolezza del meccanismo di connessione TCP e il fatto che questa particolare caratteristica dello stack TCP risulta multi-piattaforma e multi-dispositivo e viene ritenuta ancora una operazione legittima trascurandone la potenziale pericolosità.

Dal punto di vista della network security questo meccanismo apre nuovi e interessanti scenari di possibili vulnerabilità e i primi test hanno evidenziato che sono veramente pochi i dispositivi di sicurezza come Firewall e IPS in grado di rilevare come minaccia e bloccare o almeno limitare il meccanismo TCP Split Handshake. In particolare i classici statefull firewall ne favoriscono l'utilizzo proprio per la loro costruzione interna che permette il passaggio di traffico di ritorno in base a specifiche e ben definite tabelle di stato le quali non tengono conto di una mutazione così particolare del protocollo.

L'immissione di particolari modifiche al flusso o accorgimenti speciali come SYN COOKIE permettono comunque di isolare questo genere di problema, avendo però come controindicazione un abbassamento generale delle performance dei dispositivi, cosa assolutamente inaccettabile in ambito enterprise.