Descripción general de los filtros de firewall que manejan paquetes fragmentados

Puede crear filtros de firewall sin estado que administren paquetes fragmentados destinados al motor de enrutamiento. Al aplicar estas directivas al motor de enrutamiento, se protege contra el uso de la fragmentación IP como medio para disfrazar paquetes TCP de un filtro de firewall.

Por ejemplo, considere un paquete IP que está fragmentado en el tamaño de fragmento más pequeño permitido de 8 bytes (un encabezado IP de 20 bytes más una carga útil de 8 bytes). Si este paquete IP lleva un paquete TCP, el primer fragmento (desplazamiento del fragmento de 0) que llega al dispositivo contiene solo los puertos de origen y destino TCP (primeros 4 bytes) y el número de secuencia (4 bytes siguientes). Los indicadores TCP, que se encuentran en los siguientes 8 bytes del encabezado TCP, llegan en el segundo fragmento (desplazamiento del fragmento de 1).

Consulte RFC 1858, Consideraciones de seguridad para el filtrado de fragmentos IP.