Wenn der Dienst erkennt, dass Sie ein Lastausgleichsgerät für Ihre Webserver verwenden, stellt diese zusätzliche Information über Ihr Netzwerk eine Schwachstelle dar. Sie können diese Probleme anhand mehrerer Verfahren diagnostizieren und korrigieren.
Verschiedene Techniken werden verwendet, um das Vorhandensein eines Lastausgleichsgeräts zu erkennen, einschließlich HTTP-Header-Analyse und Analyse der IP-Lebensdauerwerte (TTL), IP-Identifizierungswerte (ID) und TCP Initial Sequence Numbers (ISN). Die genaue Anzahl der Webserver, die hinter einem Lastausgleichsgerät angeordnet sind, ist schwer zu bestimmen, sodass die gemeldete Anzahl möglicherweise nicht genau zutrifft.
Darüber hinaus ist bekannt, dass Netscape Enterprise Server Version 3.6 ein fehlerhaftes Feld "Date:"
im HTTP-Header anzeigt, wenn der Server mehrere Anfragen erhält. Dies erschwert dem Dienst, durch die Analyse der HTTP-Header festzustellen, ob ein Lastausgleichsgerät vorhanden ist.
Darüber hinaus kann das Ergebnis der Analyse von IP-ID- und TCP-ISN-Werten aufgrund unterschiedlicher Netzwerkbedingungen zum Zeitpunkt der Prüfung variieren. Durch die Ausnutzung dieser Schwachstelle kann ein Eindringling diese Informationen in Verbindung mit anderen Angaben verwenden, um komplexe Angriffe auf Ihr Netzwerk zu starten.
Wenn die hinter einem Lastausgleichsgerät angeordneten Webserver nicht identisch sind, können die Prüfergebnisse für die HTTP-Schwachstellen von Prüfung zu Prüfung variieren.
Unified Access Gateway ist eine Appliance, die normalerweise in einer demilitarisierten Netzwerkzone (DMZ) installiert wird. Die unten beschriebenen Schritte helfen Ihnen, Unified Access Gateway vor Schwachstellenprüfungen zu schützen, die nach diesem Problem suchen.
Um zu verhindern, dass das Vorhandensein eines Lastausgleichsgeräts anhand einer HTTP-Header-Analyse erkannt wird, sollten Sie das Network-Time-Protocol (NTP) verwenden und die Uhren auf allen Ihren Hosts (zumindest in der DMZ) synchronisieren.
Um die Erkennung durch eine Analyse von IP-TTL-Werten, IP-ID-Werten und TCP-ISN-Werten zu verhindern, können Sie Hosts mit einer TCP/IP-Implementierung verwenden, die zufällige Zahlen für diese Werte generiert. Die meisten heute erhältlichen Betriebssysteme verfügen jedoch nicht über eine solche TCP/IP-Implementierung.