Lorsque le service détecte un périphérique d'équilibrage de charge dans vos serveurs Web, ces informations supplémentaires relatives à votre réseau sont une vulnérabilité. Vous pouvez utiliser diverses procédures pour diagnostiquer et corriger ces problèmes.

Différentes techniques sont utilisées pour détecter la présence d'un périphérique d'équilibrage de charge, y compris l'analyse des en-têtes HTTP et l'analyse des valeurs de durée de vie (TTL) des adresses IP, des valeurs d'identification (ID) des adresses IP et des numéros de séquence initiale (ISN) de TCP. Le nombre exact de serveurs Web derrière un équilibrage de charge est difficile de déterminer, le nombre indiqué peut donc être incorrect.

En outre, Netscape Enterprise Server Version 3.6 est connu pour afficher un champ de "Date:" erronée dans l'en-tête HTTP lorsque le serveur reçoit plusieurs demandes. Cela rend difficile pour le service de déterminer si un périphérique d'équilibrage de charge est présent en analysant les en-têtes HTTP.

En outre, le résultat donné par l'analyse des identifiants des adresses IP et des valeurs ISN de TCP peut varier en raison de conditions de réseau différentes lorsque l'analyse a été effectuée. En exploitant cette vulnérabilité, un intrus pourrait utiliser ces informations en conjonction avec d'autres éléments d'information pour élaborer des attaques sophistiquées à l’encontre de votre réseau.

Note:

Si les serveurs Web derrière l'équilibrage de charge ne sont pas identiques, les résultats d'analyse pour les vulnérabilités HTTP peuvent varier d'une analyse à une autre.

  • Unified Access Gateway est un dispositif qui est normalement installé dans une zone démilitarisée (DMZ). Les étapes ci-dessous vous permettent de protéger Unified Access Gateway contre les analyseurs de vulnérabilité qui détectent ce problème.

    • Pour empêcher la détection de la présence d'un périphérique d'équilibrage de charge basé sur l'analyse des en-têtes HTTP, vous devez utiliser le protocole NTP pour synchroniser les horloges sur tous vos hôtes (au moins ceux de la zone DMZ).

    • Pour empêcher la détection en analysant les valeurs TTL des adresses IP, les valeurs ID des adresses IP et les valeurs ISN de TCP, vous pouvez utiliser des hôtes avec une implémentation TCP/IP qui génère des nombres aléatoires pour ces valeurs. Cependant, la plupart des systèmes d'exploitation disponibles aujourd'hui ne sont pas fournis avec une mise en œuvre de TCP/IP.