发布日期：2000-03-17
更新日期：2000-03-17

受影响系统：

Checkpoint Software Firewall-1 4.1
Checkpoint Software Firewall-1 4.0
Checkpoint Software Firewall-1 3.0

描述：

---

在某些Checkpoint Firewall-1中存在一个安全漏洞，可能将内部地址泄露给网络外部的主机。

在正常负载条件下，（CPU占用率40%，同时有200个激活的连接),Firewall-1将会尝试利用内
部地址与外部主机建立连接。由于这个地址是内部地址，所以防火墙不会允许它返回给防火
墙内部的client。因此，client会重新传输一次，这次防火墙会用正确的地址重写发出去的
包，它认为这是同一次会话，因此它会用同一个源端口，例子过程如下


Mar 9 14:01:19 172.30.1.10:1721 -> 192.168.1.5:80 SYN **S*****
Mar 9 14:01:48 200.200.200.5:1721 -> 192.168.1.5:80 SYN **S*****


Mar 9 14:04:35 172.30.1.10:1858 -> 192.168.1.5:80 SYN **S*****
Mar 9 14:05:05 200.200.200.5:1858 -> 192.168.1.5:80 SYN **S*****


Mar 9 14:23:25 172.16.5.20:4868 -> 192.168.1.5:80 SYN **S*****
Mar 9 14:23:51 200.200.200.5:4868 -> 192.168.1.5:80 SYN **S*****

这里172.30.1.10和172.16.5.20是防火墙内部ip，200.200.200.200.5是防火墙的ip,
192.168.1.5是外部主机（相对防火墙)
因此，攻击者可以根据端口信息来判断防火墙内部的ip地址，搜集防火墙内部网络信息。


<* 来源: Chris Brenton <cbrenton@sover.net> *>


建议：

---

一种解决方案是建立出口过滤机制，不允许源地址为内部ip的包发到防火墙外面去。
有关内容可以从下列地址找到：

http://www.sans.org/y2k/egress.htm

浏览次数：6817
严重程度：0（网友投票）