« Home | אודות שירות הלקוח של SanDisk » | רשימת תפוצה לבלוג » | הצעת החוק לחסימת אתרים » | אוכלים במסעדות ? פרצת אבטחה » | URL Filtering גישה נוספת לתחום רווי פתרונות » | פתרונות חיפוש לעסקים - Google » | המקום שבו אנחנו מתחילים להיכשל - הירוקים » | אבטחת מידע למנהלים - לפני המכונות » | שדרוג המשרד הביתי שלי - Multiplicity » | 802.1x - אנדרלמוסיה בHIGH-END »

ביצוע DOS פשוט לרוב מוצרי הSOHO-FW

לאחר מספר אלפי התקנות בקריירה שלי , אני תמיד זוכר שלכל מוצר טוב ככל שיהיה ישנן נקודות תורפה אשר מתגלות עם הזמן , ואלו - לעתים מופיעות אצל יותר מיצרן אחד , בשל איפלמנטציה דומה או ארכיטקטורת חומרה דומה.

בבעיה מסוג זה נתקלתי עם מכונות FORTIGATE60 ועם מכונת JUNIPER-SSG20 אשר שתיהן מכונות דומות מבחינת יכולת חומרה וכח עיבוד ASIC...

אני לא נכנס בכלל לפינה של ATERA או SBOX ואפילו מוצרים מתקדמים כגון WATCHGUARD וכדומה אשר סובלים מאותן מחלות בדיוק - אבל במוצרים אלו בגלל הארכיטקטורה - הבעיות הללו יותר צפויות מאשר אצל שתי המערכות שציינתי למעלה ( שמבחינתי מייצגים אותן היצרנים המובילים והטובים ביותר מבחינה טכנולוגית היום בשוק הFW בפרט והUTM בכלל ).

ובכן הבעיה היא כזו - FLASHGET.
נכון , אותו מוצר שהינו DOWNLOAD MANAGER יודע לבצע MULTITHREADING בשביל לאפשר להוריד יותר מהר. למי שלא מכיר , מדובר בתוכנה חינמית אשר מבצעת ניהול חכם להורדות ומאפשרת הורדה באמצעות יצירת חלוקה לפרוסות של קובץ ההורדה ומשיכתו ממספר מקומות במקביל , או במקרה הנבדק - מאותו מקום על גבי כמה סשנים.

מנסיוני , מכונת הFORTIGATE60 סוחבת 90MB+ של ROUTING בעת הצורך , וחברו - הSSG20 לא פחות בהרבה. בנוסף מכונת הFGT60 תומכת עד 200,000 סשנים במקביל , כאשר הSSG20 עד 8000 ברשיון מורחב ( הספירה שונה כמובן כי הם סופרים ESTABLISHED בלבד ). שתי המכונות מבצעות PACKET-FORWARDING וROUTING על גבי מנוע ASIC . הסיבה שאני מציין זאת היא בשל היכולת התיאורטית להגיע לקצבים וביצועים אדירים.

ובכן - לא כך הדבר הפעם.
כבדיקה הפעלתי את הFLASHGET עם בקשה MULTITHREADED DOWNLOAD מאותו אתר מרוחק , על גבי 10 פרוסות שונות . שתי המכונות הגיעו לMAX SESSIONS והתחילו להפיל תעבורה.

כן כן , שתי מכונות מדהימות קיבלו DOS בצורה מאוד מאוד קלה על ידי משתמש אחד מתוך 10 ברשת אשר סה"כ ביצע הורדה של קובץ ( בשתי המערכות הAV פעל על התעבורה כמובן ). לא הצלחתי לשחזר את התופעה במכונות גדולות יותר.

מעניין ...

אגב , יותר מאוחר הצלחתי למנוע את התופעה של הMULTITHREAD ולהגיע למצב שההורדה עוברת דרך הIPS של הFGT60 ושם מתבצעת חתיכה של SESSIONS מיותרים , וכך בעצם נפתרה הבעיה - אבל לא בצורה שקופה של OUT-OF-THE-BOX. בSSG - עדיין לא נפתר.

Labels: , ,

Syndication : Digg It  Add to Technorati Favorites  Stumble It  Worth Reading 


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites