流行的防火墙容易受到拒绝服务的攻击

安全研究员发现了一个流行的防火墙中的缺陷,他说他说的工具易受拒绝服务的攻击。由Checkpoint Software Technologies Ltd.开发的防火墙-1产品在Redwood City,Chinif City,显然可以通过轰炸数据包的不完整片段来轰炸该工具。

Lance Spitzner是Sun Microsystems Inc.的全球企业安全团队的成员,加利福尼亚州帕洛阿尔托,他说,他于5月27日发现了瑕疵,同时试图了解防火墙-1如何处理IP碎片。 Spitzner通知检查站,开发了短期解决方案,并正在为该问题的长期修复。

Spitzner的研究结果可以找到 http:///www.enteract.com/~lspitz/fwtable.html..

Checkpoint产品营销总监Greg Smith表示,该公司已为防火墙制定了解决方法解决方法,该解决方法保护网络免受拒绝服务攻击。该替代方法可供公司提供 网站。他说,这个问题的永久修复将包括在下一个Service Pack for Firewall-1的下一个Service包中。

由于史密斯指出,由于漏洞的结果,没有检查点客户报告是拒绝服务攻击的目标。他贬低了潜在的漏洞的影响。史密斯说:“没有授权的访问没有违反安全的可能性。” “这只是拒绝服务。”

Spitzner表示,他认为,无论操作系统的类型还是安装版本或修补程序级别,都会相信防火墙-1的每次安装都很脆弱。但他在他的研究论文中注意到他的工作仅在Solaris x86 2.7上使用CheckPoint Firewall-1版本4.1进行了测试。

根据Spitzner的说法,攻击作品是因为防火墙-1不检查或记录碎片包,直到第一次完全重新组装。由于攻击中使用的数据包永远不会完全组装,因此防火墙-1不会检查或记录防火墙日志上的碎片,防止该工具的规则基础免受攻击。 Spitzner补充说,有许多数据包片段攻击策略使用不完整或非法碎片,包括称为jolt2的攻击程序,它发送特定的数据包片段。

“防火墙不仅要取出,而且很难确定为什么,”在他的咨询中写道。他补充说,非法碎片的数据包,例如由jolt2生成的数据包,可以由UNIX系统记录到/ var / adm /消息。

当防火墙-1以这种方式受到攻击时,Spitzner指出,CPU注册100%利用率并锁定。一些系统也可能崩溃。 Spitzner指出,CPU流失可能是应用程序试图重新组装一百或数千个不完整和非法碎片的数据包的结果。

Spitzner指出防火墙不必直接攻击。如果碎片通过防火墙路由到防火墙后面的系统,则攻击仍将禁用防火墙-1。

基于San Mateo的安全门户的MIS经理Ryan Russell 安全Focus.com.,指出,其他防火墙可能具有相同的问题和漏洞。 “我们发现很多平台容易受到震动2,”拉塞尔说。 “每个人都有一个想要它的副本。” Jott2计划几周前发布。

Russell表示,该攻击可以针对目标机器的IP地址查明,不需要脂肪互联网管道,以压倒具有洪水数据包的服务器。他说,Jott2工具最初影响了Windows Machines,但运行Linux和BSD操作系统的一些机器也易受攻击。 “防火墙将骑在那些之上,所以直到你得到一些防火墙供应商固定的底层IP堆栈,你将在那里有问题,”拉塞尔说。

去年8月发布的防火墙-1版本4.1提供了一个用于在企业网络上管理一个或多个防火墙的界面。

根据Spitzner的说法,CheckPoint的短期解决方案是基于观察结果,即CPU利用率的百分比是由于某些UNIX系统上的控制台错误消息。通过禁用防火墙-1内核日志记录,他写道将保存一些CPU利用率。但他指出,此解决方案禁用所有防火墙-1内核日志记录。

防火墙工具的用户也建议确保其操作系统具有最新的补丁。 Spitzner指出,许多操作系统最近发布了有助于防止片段攻击的补丁。

Spitzner还指出,用户可以运行入侵检测模块,如Snort,可提供开源程序 snort.org.,可以配置为观看Jolt2样式数据包。 Russell表示,当防火墙开始慢慢运行或开始崩溃时,该工具可用于诊断问题。 “如果你把它放在防火墙前面或后面,任何攻击来自哪里的方向,你至少知道发生了什么,”拉塞尔说。

当用户检测到片段攻击时,它们可以阻止路由器处的源地址。但是,Spitzner建议此方法可能无法使用欺骗源地址的数据包。

Spitzner表示检查站正在开发一个长期解决方案,该解决方案将作为后续服务包的一部分分发。 Spitzner补充说,当他发布他的研究数据时,此修复程序无法进行测试。

相关链接:

  • 有关更多安全保障,请访问我们的 安全手表 page.
  • 有关于安全问题的意见吗?前往 论坛。 (注意:发布消息所需注册;任何人都可以阅读消息。注册 Computerworld. 论坛, 点击这里)。
有关的:

版权© 2000 IDG通讯,Inc。

  
在亚马逊的商店技术产品