Quando o serviço detecta que um dispositivo de balanceamento de carga nos seus servidores da web, essas informações adicionais sobre a rede são uma vulnerabilidade. Você pode usar vários procedimentos para diagnosticar e corrigir esses problemas.
Técnicas diferentes são usadas para detectar a presença de um dispositivo de balanceamento de carga, incluindo a análise do cabeçalho HTTP e análise de valores de IP-útil (TTL), os valores de IP identificação (ID) e números de sequência inicial TCP (ISN). A quantidade exata de servidores Web atrás de um balanceador de carga é difícil determinar, portanto, o número relatado talvez não seja preciso.
Além disso, o Netscape Enterprise Server versão 3.6 é conhecido por exibir um campo "Date:"
errado no cabeçalho HTTP quando o servidor receber várias solicitações. Isso dificulta que o serviço determine se há um dispositivo de balanceamento de carga presente, analisando os cabeçalhos HTTP.
Além disso, o resultado fornecido pela análise dos valores de ID de IP e TCP ISN pode variar devido a condições de rede diferentes quando a verificação foi realizada. Explorando essa vulnerabilidade, um invasor pode usar essas informações em conjunto com outras informações para formular ataques sofisticados contra a sua rede.
- O Unified Access Gateway é um appliance de segurança normalmente instalado em uma zona desmilitarizada (DMZ). As etapas a seguir o ajudam a proteger Unified Access Gateway de verificadores de vulnerabilidade de detectarem esse problema.
- Para evitar a detecção da presença de um dispositivo de balanceamento de carga com base na análise do cabeçalho HTTP, você pode usar o protocolo de tempo de rede (NTP) para sincronizar os relógios em todos os seus hosts (pelo menos no DMZ).
- Para evitar a detecção analisando os valores de IP TTL, os valores de ID de IP e valores de TCP ISN, você pode usar os hosts com uma implementação de TCP/IP que gera números aleatórios para esses valores. No entanto, a maioria dos sistemas operacionais disponíveis atualmente não vêm com essa implementação de TCP/IP.