12:42 14.04.2011 |   2121



Хотя возможность обхода некоторых систем обнаружения вторжения и правил межсетевых экранов с помощью так называемого TCP Split Handshake была найдена и опубликована больше года назад, многие из широко используемых аппаратных межсетевых экранов все еще неспособны распознать и блокировать ее. Такой вывод делают специалисты NSS Labs, протестировавшие шесть аппаратных межсетевых экранов разных производителей: Check Point Power-1 11065, Cisco ASA 5585, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020, и SonicWall NSA E8500. В экспериментах NSS Labs только экран Check Point смог предотвратить установление соединения посредством TCP Split Handshake.

Атака с использованием TCP Split Handshake осуществляется со стороны сервера, который при установке соединения посылает клиенту нетрадиционным образом сконфигурированные пакеты TCP. В результате межсетевой экран может «не заметить», что клиент общается с сервером, расположенным за пределами локальной сети.

Не все производители согласны с выводами NSS Labs. В Fortinet и SonicWall утверждают, что их межсетевые экраны при правильной настройке защищают от TCP Split Handshake.


Теги: Защита информации Информационная безопасность
На ту же тему: