При работе UserGate в связке c аппаратными межсетевыми экранами, разработанными компанией Cisco Systems, Cisco ASA, с включённым режимом TCP Sequence Randomization, могут наблюдаться ошибки.
При использовании режима TCP Sequence Randomization, по умолчанию, продукты линейки Cisco ASA рандомизируют начальные порядковые номера (Initial Sequence Number, ISN) пакетов TCP с установленным флагом SYN во входящем и исходящем потоках. Рандомизация не позволяет злоумышленнику предсказать следующий ISN нового подключения и, возможно, предотвратить перехват новой сессии.
Схема взаимодействия UserGate и Cisco приведена ниже.
Как показано на схеме, UserGate выступает в роли моста с режимом работы Layer 2; Cisco ASA тегирует трафик. При попытке установки соединения сервера А, находящегося во VLAN 100, с сервером B, находящимся во VLAN 50, будет передан пакет от UserGate на Cisco ASA со значением ISN, равным X, и ACK (Acknowledgment Number) - cо значением Y. В ответ UserGate ожидает получить пакет с ISN, равным X, и ACK, равным Y+1. Cisco изменяет тег VLAN со 100 на 50 и в целях обеспечения безопасности соединения от атаки «человек посередине» (Man in the middle, MITM) посылает пакет со значениями ISN = Z и ACK = Y+1. Cisco ASA изменило значение ISN, поэтому UserGate отбросит пакет, ожидая получения пакета с другим ISN.
Чтобы исключить такую ситуацию, необходимо отключить режим TCP Sequence Randomization на оборудовании компании Cisco.