[u-help]

Некоторые из наиболее распространенных брандмауэров подвержены уязвимостям, которые дают атакующим возможность обмануть файрвол и пробраться во внутреннюю сеть на основе доверенного IP-соединения.

В NSS Labs недавно протестировали полдюжины сетевых брандмауэров для того, чтобы выявить слабые места в системах безопасности и выяснили, что все, кроме одного из них, являются уязвимыми для типа атаки, которая называется "TCP Split Handshake Attack", которая позволяет хакеру, находясь на расстоянии, обманывать брандмауэр и заставлять его считать, что то или иное IP-соединение является доверенным.

"Если брандмауэр считает, что ты внутри, политика безопасности, которая применяется к тебе – внутренняя, и ты можешь, например, запустить сканирование для того, чтобы определить, где и какие находятся компьютеры", - говорит Рик Мой, президент NSS Labs. "Атакующий может затем делать в сети, что ему вздумается, потому что брандмауэр неверно считает IP-адрес доверенным и находящимся за брандмауэром".

Мой говорит, что эксплойт, который был использован в ходе проведения тестирования, известен под именем "TCP Split Handshake", он начинает действовать в момент установления связи брандмауэра и любого другого хоста, во время процесса "обмена рукопожатиями" для того, чтобы установить соединение. Мой говорит, что о коде атаки известно примерно год. "Это простой способ для атакующего стать частью сети. Самое коварное – это то, что он начинает действовать на стадии "обмена рукопожатиями", поэтому вряд ли атака будет зарегистрирована в логах или вызовет объявление тревоги", - утверждает Мой.

Доклад: https://www.nsslabs....st-q2-2011.html