ID статьи: 50
Последнее обновление: 02 авг, 2022
KnowledgeBase: Product: UserGate NGFW Version: 6.1.8, 6.1.9
При работе UserGate в связке c аппаратными межсетевыми экранами, разработанными компанией Cisco Systems, Cisco ASA, с включённым режимом TCP Sequence Randomization, могут наблюдаться ошибки. При использовании режима TCP Sequence Randomization, по умолчанию, продукты линейки Cisco ASA рандомизируют начальные порядковые номера (Initial Sequence Number, ISN) пакетов TCP с установленным флагом SYN во входящем и исходящем потоках. Рандомизация не позволяет злоумышленнику предсказать следующий ISN нового подключения и, возможно, предотвратить перехват новой сессии. Схема взаимодействия UserGate и Cisco приведена ниже. Как показано на схеме, UserGate выступает в роли моста с режимом работы Layer 2; Cisco ASA тегирует трафик. При попытке установки соединения сервера А, находящегося во VLAN 100, с сервером B, находящимся во VLAN 50, будет передан пакет от UserGate на Cisco ASA со значением ISN, равным X, и ACK (Acknowledgment Number) - cо значением Y. В ответ UserGate ожидает получить пакет с ISN, равным X, и ACK, равным Y+1. Cisco изменяет тег VLAN со 100 на 50 и в целях обеспечения безопасности соединения от атаки «человек посередине» (Man in the middle, MITM) посылает пакет со значениями ISN = Z и ACK = Y+1. Cisco ASA изменило значение ISN, поэтому UserGate отбросит пакет, ожидая получения пакета с другим ISN. Чтобы исключить такую ситуацию, необходимо отключить режим TCP Sequence Randomization на оборудовании компании Cisco.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 50
Последнее обновление: 02 авг, 2022
Ревизия: 1
Просмотры: 6546
Комментарии: 0
Теги
|