Очень часто нам задают вопросы по уязвимостям обнаруженным сторонними сканнерами безопасности в наших продуктах. Ниже представлены ответы на подобные вопросы.

В продукте UserGate в качестве DNS сервера не используются версии компонента ISC BIND, подверженные данной уязвимости.

В продукте UserGate ограничена глубина рекурсии DNS запросов, в связи с этим вызвать отказ в обслуживании данным способом не представляется возможным, данная уязвимость не применима к продукту UserGate.

В продукте UserGate используются самоподписанные сертификаты. Поскольку сертификаты не подписаны каким-либо удостоверяющим центром, сканеры определяют цепочку с их участием неполной. Для устранения данной уязвимости необходимо заменить сертификат по умолчанию на подписанный удостоверяющим центром пользовательский сертификат.

В продукте UserGate используются сертификаты по умолчанию (default) с длиной ключа 1024. Для устранения данной уязвимости необходимо заменить сертификат по умолчанию (default) на пользовательский сертификат с требуемой длиной ключа.

Функционал модуля IPMI опционален, требуется только для подключения из локальной сети организации. Не рекомендуется публиковать доступ к данному интерфейсу во внешнюю сеть, где существуют риски эксплуатации данной уязвимости.

Уязвимость CVE-2002-20001 Diffie-Hellman Ephemeral Key Exchange DoS Vulnerability (SSL/TLS, D(HE)ater) использует механизм реализации протокола обмена ключами Diffie-Hellman Key Exchange (DHE). Злоумышленник со стороны клиента может отправлять на сервер произвольную последовательность под видом открытого ключа, вызывая повышение загрузки CPU сервера вычислениями протокола DHE. Согласно методике оценки уязвимостей (CVSS) она имеет высокую, но не критичную оценку (7.5) и влияет на доступность ресурса, при этом конфиденциальность данных и целостность ресурса не находятся под угрозой. Эффективность потенциальной атаки с использованием этой уязвимости во многом зависит от типа используемого криптографического протокола, конкретной реализации системной библиотеки, а также размера ключа, используемого во время обмена ключами. В базовым сценарии атаки клиент запрашивает использование только протокола DHE и максимально возможную длину ключа.

В решениях UserGate используется протокол DHE. Анализ воздействия уязвимости на конкретную реализацию DHE в оборудовании UserGate не показал ее влияния на производительность. В качестве дополнительных мер безопасности можно сделать следующее:

• Отключить протокол DHE в настройках используемых профилей SSL для удаленного доступа к устройству. Вместо DHE могут использоваться протоколы RSA (для поддержки устаревших приложений) и/или ECDHE.

• Ограничить количество и тип DH групп в настройках профилей безопасности VPN только реально используемыми.   

Nmap и ему подобные сканеры портов определяют 6 состояний программного порта:

Открыт (open)
Приложение принимает запросы на TCP соединение или UDP пакеты на этот порт.

Закрыт (closed)
Закрытый порт доступен (он принимает и отвечает на запросы Nmap), но не используется каким-либо приложением.

Фильтруется (filtered)
Администраторы могут заблокировать  порты с помощью брандмауэров. в этом случае Nmap не может определить, открыт ли порт, т.к. фильтрация пакетов не позволяет достичь запросам Nmap этого порта.
 

Не фильтруется (unfiltered)
Это состояние означает, что порт доступен, но Nmap не может определить открыт он или закрыт.

Открыт|фильтруется (open|filtered)
Nmap характеризует порт таким состоянием, когда не может определить открыт порт или фильтруется. Это состояние возникает при таких типах сканирования, при которых открытые порты не отвечают. Отсутствие ответа также может означать, что пакетный фильтр не пропустил запрос или ответ не был получен. Поэтому Nmap не может определить наверняка открыт порт или фильтруется. При сканировании UDP, по IP протоколу, FIN, NULL, а также Xmas порт может быть охарактеризован таким состоянием.

Закрыт|фильтруется (closed|filtered)
Это состояние используется, когда Nmap не может определить закрыт порт или фильтруется.

Сканеры типа Nmap распознают статус порта по ответу от сканируемого ресурса. Статус "закрыт" означает, что на отправку сканером пакета SYN, цель ответила пакетом RST. Это означает, что данный порт доступен, но на нем не запущено никаких сетевых сервисов. Если этот порт разрешен на межсетевом экране UserGate NGFW, это нормальное поведение системы. В противном случае следует внимательно изучить настройки межсетевого экрана  UserGate NGFW и устранить ошибки конфигурирования. 

Если есть список устройств, для которых необходимо сделать порт недоступным, то можно создать правило DNAT в неиспользуемый адрес и заблокировать трафик на этот адрес правилом межсетевого экрана.