Cuando el servicio detecta un dispositivo de equilibrio de carga en los servidores web, esta información adicional acerca de la red es una vulnerabilidad. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar estos problemas.
Se utilizan diferentes técnicas para detectar la presencia de un dispositivo de equilibrio de carga, como, por ejemplo, el análisis del encabezado HTTP y el análisis de los valores de tiempo de vida (TTL) de IP, los valores de identificación (ID) de IP y los números de secuencia inicial (ISN) de TCP. Resulta difícil determinar la cantidad exacta de servidores web detrás de un equilibrador de carga, por lo que el número que aparece podría no ser preciso.
Además, se sabe que Netscape Enterprise Server versión 3.6 muestra un campo "Date:"
erróneo en el encabezado HTTP cuando el servidor recibe varias solicitudes. Esto dificulta que el servicio determine si hay un dispositivo de equilibrio de carga presente mediante el análisis de los encabezados HTTP.
Además, el resultado que entrega el análisis de los valores de ID de IP e ISN de TCP puede variar debido a las condiciones de la red cuando se realizó el escaneo eran diferentes. Aprovechando esta vulnerabilidad, un intruso podría utilizar esta información junto a otra para realizar sofisticados ataques contra su red.
- Unified Access Gateway es un dispositivo que normalmente se instala en una zona desmilitarizada (DMZ). Los pasos a continuación le ayudan a proteger a Unified Access Gateway en caso de que los escáneres de vulnerabilidades no detecten este problema.
- Para evitar la detección de la presencia de un dispositivo de equilibrio de carga según el análisis del encabezado HTTP, debe utilizar el protocolo de tiempo de redes (NTP) para sincronizar los relojes de todos los hosts (al menos los que hay en DMZ).
- Para evitar la detección mediante el análisis de los valores de TTL de IP, los valores de ID de IP y los valores ISN de TCP, puede usar hosts con una implementación de TCP/IP que genera números aleatorios para estos valores. Sin embargo, la mayoría de los sistemas operativos disponibles en la actualidad no vienen con una implementación de TCP/IP de este tipo.