Безопасность
Очень часто нам задают вопросы по уязвимостям обнаруженным сторонними сканнерами безопасности в наших продуктах. Ниже представлены ответы на подобные вопросы.
ВопросВерсия сервера: Usergate DNS v7.0.1.989R ОтветВ продукте UserGate в качестве DNS сервера не используются версии компонента ISC BIND, подверженные данной уязвимости.
ВопросУязвимость: Рекурсия ОтветВ продукте UserGate ограничена глубина рекурсии DNS запросов, в связи с этим вызвать отказ в обслуживании данным способом не представляется возможным, данная уязвимость не применима к продукту UserGate.
ВопросУязвимость: Некорректная цепочка сертификатов ОтветВ продукте UserGate используются самоподписанные сертификаты. Поскольку сертификаты не подписаны каким-либо удостоверяющим центром, сканеры определяют цепочку с их участием неполной. Для устранения данной уязвимости необходимо заменить сертификат по умолчанию на подписанный удостоверяющим центром пользовательский сертификат.
ВопросУязвимость: ОтветВ продукте UserGate используются сертификаты по умолчанию (default) с длиной ключа 1024. Для устранения данной уязвимости необходимо заменить сертификат по умолчанию (default) на пользовательский сертификат с требуемой длиной ключа.
ВопросУязвимость: ОтветФункционал модуля IPMI опционален, требуется только для подключения из локальной сети организации. Не рекомендуется публиковать доступ к данному интерфейсу во внешнюю сеть, где существуют риски эксплуатации данной уязвимости.
ЗадачаСканирование NGFW UserGate сторонними сканерами показывает открытую уязвимость типа CVE-2002-20001 Diffie-Hellman Ephemeral Key Exchange DoS Vulnerability (SSL/TLS, D(HE)ater). Как устранить? РешениеУязвимость CVE-2002-20001 Diffie-Hellman Ephemeral Key Exchange DoS Vulnerability (SSL/TLS, D(HE)ater) использует механизм реализации протокола обмена ключами Diffie-Hellman Key Exchange (DHE). Злоумышленник со стороны клиента может отправлять на сервер произвольную последовательность под видом открытого ключа, вызывая повышение загрузки CPU сервера вычислениями протокола DHE. Согласно методике оценки уязвимостей (CVSS) она имеет высокую, но не критичную оценку (7.5) и влияет на доступность ресурса, при этом конфиденциальность данных и целостность ресурса не находятся под угрозой. Эффективность потенциальной атаки с использованием этой уязвимости во многом зависит от типа используемого криптографического протокола, конкретной реализации системной библиотеки, а также размера ключа, используемого во время обмена ключами. В базовым сценарии атаки клиент запрашивает использование только протокола DHE и максимально возможную длину ключа. В решениях UserGate используется протокол DHE. Анализ воздействия уязвимости на конкретную реализацию DHE в оборудовании UserGate не показал ее влияния на производительность. В качестве дополнительных мер безопасности можно сделать следующее:
ВопросЧто означают статусы портов при сканировании nmap или им подобным. ОтветNmap и ему подобные сканеры портов определяют 6 состояний программного порта: Открыт (open) Закрыт (closed) Фильтруется (filtered) Не фильтруется (unfiltered) Открыт|фильтруется (open|filtered) Закрыт|фильтруется (closed|filtered)
ЗадачаПри сканировании IP адресов серверов, защищенных UserGate NGFW, порты, на которых нет соответствующих сервисов, показываются в статусе "закрытый". РешениеСканеры типа Nmap распознают статус порта по ответу от сканируемого ресурса. Статус "закрыт" означает, что на отправку сканером пакета SYN, цель ответила пакетом RST. Это означает, что данный порт доступен, но на нем не запущено никаких сетевых сервисов. Если этот порт разрешен на межсетевом экране UserGate NGFW, это нормальное поведение системы. В противном случае следует внимательно изучить настройки межсетевого экрана UserGate NGFW и устранить ошибки конфигурирования. Если есть список устройств, для которых необходимо сделать порт недоступным, то можно создать правило DNAT в неиспользуемый адрес и заблокировать трафик на этот адрес правилом межсетевого экрана. ЗадачаПроисходят ложные срабатывания сигнатур СОВ РешениеЧтобы исключить ложные срабатывания:
Перейдите в раздел Библиотеки ➜ Профили СОВ. На панели Профили нажмите Добавить и создайте профиль СОВ. Выбрав профиль нажмите Добавить на панели Сигнатуры. Далее укажите сигнатуры, ложные срабатывания которых нужно исключить.
После создания профиля СОВ с необходимым набором сигнатур перейдите в раздел Политики безопасности ➜ СОВ. Откройте настройки правила, действие которого выполнится в результате срабатывания сигнатуры (правила с действиями Журналировать или Запретить); во вкладке Профили исключения добавьте профиль СОВ с сигнатурами, создающими ложные срабатывания. Подробнее о настройке системы обнаружения и предотвращения вторжений читайте в UserGate 6. Руководство администратора. |