Фирма Cisco (Сан-Хосе, шт. Калифорния) сообщила о том, что она обнаружила брешь в системе защиты от несанкционированного доступа (firewall), применяемой в ПО ее маршрутизаторов для среды взаимодействия открытых систем (IOS  -  Interchange Open Systems), и готова предоставить средства для решения этой проблемы.

Этот просчет есть во всех версиях Cisco IOS, кроме новейших (которые включают функцию пакетной фильтрации); он позволяет приходящим из Internet несанкционированным пакетам проникать в частную сеть TCP/IP.

Инженер Cisco по программному обеспечению Пол Трайна отмечает, что уязвимость функции пакетной фильтрации (она ликвидирована в новом выпуске ПО, который Cisco распространяет бесплатно) присуща маршрутизаторам не только его фирмы.

Консультант по безопасности в Internet Брент Чэпмен согласен с ним: "Эта проблема может возникнуть в любом маршрутизаторе, выполняющем пакетную фильтрацию".

Где протекают "Противопожарные переговорки"

В системе фильтрации Cisco IOS проблема возникает, когда "установленное" ключевое слово используется в расширенной функции списка управления межсетевым доступом. Эта функция пропускает трафик Internet в частную сеть TCP/IP в том случае, если он является ответом на запрос, сгенерированный во внутренней сети.

При разбиении пакета на фрагменты (чтобы его можно было передать через маршрутизатор, пропускающий только пакеты, не превышающие определенной длины) головной содержит информацию для идентификации пакета как части санкционированного сеанса связи. Как правило, пакетный фильтр проверяет только этот фрагмент, чтобы принять решение, пропускать пакет в целом или нет. Последующие фрагменты проходят в конечную систему без проверки. Атакующий может вручную создать фрагменты, слишком маленькие для того, чтобы в них поместилась идентифицирующая информация, однако некоторые пакетные фильтры могут пропустить их во внутреннюю есть.

Фирма Morning Star Technologies, поставляющая на рынок маршрутизаторы с системами защиты типа firewall, в конце прошлого года обнаружила такую же брешь в своем пакетном фильтре и разослала клиентам исправленное решение.

К моменту публикации не было ясно, какие еще производители маршрутизаторов столкнулись с этой проблемой, хотя официальные представители фирмы Bay Networks заявляют, что с их маршрутизаторами все в порядке.

Представители корпорации 3Com не могли ответить наверняка, но все же выразили сомнение в том, что их системы firewall могут быть уязвимыми.

ПАУЛА МУСИЧ