Ошибки при взаимодействии UserGate и Cisco ASA

ID статьи: 50
Последнее обновление: 02 авг, 2022
KnowledgeBase:
Product: UserGate NGFW
Version: 6.1.8, 6.1.9

При работе UserGate в связке c аппаратными межсетевыми экранами, разработанными компанией Cisco Systems, Cisco ASA, с включённым режимом TCP Sequence Randomization, могут наблюдаться ошибки.

При использовании режима TCP Sequence Randomization, по умолчанию, продукты линейки Cisco ASA рандомизируют начальные порядковые номера (Initial Sequence Number, ISN) пакетов TCP с установленным флагом SYN во входящем и исходящем потоках. Рандомизация не позволяет злоумышленнику предсказать следующий ISN нового подключения и, возможно, предотвратить перехват новой сессии.

Схема взаимодействия UserGate и Cisco приведена ниже.

image260

Как показано на схеме, UserGate выступает в роли моста с режимом работы Layer 2; Cisco ASA тегирует трафик. При попытке установки соединения сервера А, находящегося во VLAN 100, с сервером B, находящимся во VLAN 50, будет передан пакет от UserGate на Cisco ASA со значением ISN, равным X, и ACK (Acknowledgment Number) - cо значением Y. В ответ UserGate ожидает получить пакет с ISN, равным X, и ACK, равным Y+1. Cisco изменяет тег VLAN со 100 на 50 и в целях обеспечения безопасности соединения от атаки «человек посередине» (Man in the middle, MITM) посылает пакет со значениями ISN = Z и ACK = Y+1. Cisco ASA изменило значение ISN, поэтому UserGate отбросит пакет, ожидая получения пакета с другим ISN.

Чтобы исключить такую ситуацию, необходимо отключить режим TCP Sequence Randomization на оборудовании компании Cisco.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 50
Последнее обновление: 02 авг, 2022
Ревизия: 1
Просмотры: 6429
Комментарии: 0
Теги

Также опубликовано в