Velký test NSS Labs ukázal, že běžně používané firemní firewally jsou plné chyb

Pavel Houser , 20. duben 2011 10:34 3 komentářů

Lupa_0
Velká část nejpopulárnějších firemních firewallů obsahuje chyby, které útočníkovi umožňují vydávat se za důvěryhodnou IP adresu, a proniknout tak do vnitřní sítě. Firmy se tudíž na tuto ochranu tak nemohou plně spoléhat.


Check Point Power-1 11065, jeden ze tří firewallů, který testem prošel.

Použitý typ útoku s názvem TCP Handshake Split Attack umožňuje předstírat, že adresa, z níž se uskutečňuje spojení, se nachází uvnitř firemní sítě. Pro interní spojení pak už samozřejmě platí jiná bezpečnostní pravidla; v některých případech může útočník volně skenovat další počítače v síti a bez omezení přistupovat k souborových serverům a síťovým diskům.

„V našem testování jsme používali stejné metody a postupy k narušení firewallu, které by použili dnešní hackeři. NSS test firewallů příští generace je jedinečný, žádná jiná společnost nenabízí podobný test na stejně vysoké úrovni.. Firmám nabízí důslednou a především nezávislou analýzu,“ komentuje test Rick Moy, prezident NSS Labs.

Za zdůraznění stojí, že popsané chyby se netýkají firewallů pro osobní použití nebo zdarma dostupných produktů, ale nákladných řešení určených i pro větší organizace.


V testu NSS Labs se objevily tyto produkty:

Check Point Power-1 11065
Cisco ASA 5585
Fortinet Fortigate 3950
Juniper SRX 5800
Palo Alto Networks PA-4020
SonicWALL NSA E8500

Plná verze studie je k dispozici pouze platícím zákazníkům. NSS Labs ovšem uvádí, že TCP Handshake Split Attack dokázal překonat 5 ze 6 firewallů a odolal mu pouze Check Point Power-1 11065. Juniper SRX 5800 nenabízí ochranu ve výchozím nastavení, firewall lze takto ovšem nakonfigurovat. Ani to však nemusí být bez problémů, změny mohou mít dopad na rychlost filtrování nebo narušit fungování aplikací, které nepoužívají protokol TCP přesně podle normy.

Ostatní dodavatelé samozřejmě více-méně přislíbili, že zjednají nápravu. Nemusí to být ale bez problémů, takové ad-hoc zásady mohou opět negativně ovlivnit výkon.

Popsaný typ útoku je znám asi rok. Vážným problémem je nejen samotný průnik, ale i to, že po akci prakticky nezůstane stopa (alespoň na úrovni firewallu).


Cisco ASA 5585

NSS Labs mj. také kritizuje dodavatele, že ve své dokumentaci hrubě nadsazují výkon (propustnost) svých firewallů. Check Point Power-1, Cisco ASA 5585 a Palo Alto PA-4020 na rozdíl od dalších 3 produktů obstály v testu stability. Toto kritérium rovněž není zanedbatelné; firewall může totiž zhavarovat náhodou, ale v případě, že jde o výsledek známé softwarové chyby, se jej útočník může pokusit i shodit na dálku, a otevřít si tak cestu do sítě.

Placená část studie dále obsahuje mj. i celkový žebříček, do něhož jsou započítány i náklady na vlastnictví jednotlivých produktů.

Chyba mezi klávesnicí a židlí v oddělení, kde jí nečekáte


Zdaleka ne za všechny nedostatky firewallů ale padají na vrub dodavatelů. Sami zákazníci často volí nevhodnou architekturu umístění serverů, alespoň to tvrdí nedávný průzkum Arbor Networks. Výsledkem špatného pojetí demilitarizované zóny může být třeba to, že útoky DDoS
pak nezasáhnou jen webový server, ale mají dopad i na fungování vnitrofiremní sítě.

Juniper SRX 5800

Z novinek týkajících se firewallů stojí v poslední době za zmínku rovněž Oracle Database Firewall, který je speciálně navržen pro ochranu databází. Obsahuje nástroje pro analýzu SQL dotazu, které by jednak měly zabránit útokům zvnějšku v podobě SQL injection, ale
rovněž mají chránit databázi před neoprávněným přístupem zevnitř firmy (tj. pokus o eskalaci oprávnění).

Závěr?

Studie NNS Labs není rozhodně jediným dokladem toho, že firewally vesměs zaostaly za vývojem hrozeb. Již před dvěma lety vedl právě k tomuto závěru průzkum Palo Alto Networks (jeden z dodavatelů i v testu NSS Labs).

Důsledky chyb firewallů ale na druhé straně není třeba přeceňovat. Firewally byly před cca 15 lety jedním z prvních typů bezpečnostních řešeních, které se objevilo jako reakce na nástup Internetu; tehdy byly nezastupitelné. Z hlediska současné situace už ale firewall
nepředstavuje tak klíčovou součást zabezpečení, jako tomu bylo ještě před třeba 5 lety.

Firewall nijak nechrání před problémy spojenými s přenosnými paměťovými médii nebo hrozbami pocházejícími od vnitřních nepřátel. Klíčovou roli dnes hraje hraje ochrana koncových bodů (včetně mobilních zařízení) a kontrola nad obsahem během celého jeho životního cyklu. Pokud se např. na firemním souborovém serveru nacházejí citlivé informace, měly by mít stejně definována přístupová oprávnění. To, že útočník pronikne firewallem maskován jako IP adresa ve vnitřní síti, by mu v případě dobře řešeného zabezpečení k úspěchu ještě nemělo stačit.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 20. duben 2011 21:29

Ach jo, a odkaz na tu studii by nebyl? To si to musím Googlovat?

Karel Wolf 22. duben 2011 00:33

Studie samotna je placena a neni mozne ji tudiz predavat tretim stranam, odkaz na jeji resersi nicmene doplnen.
- Karel Wolf -

xaint #2
xaint 22. duben 2011 07:31

Koukam ze sasci z fortinetu zase maj velkej FAIL, jako vzdycky :-) stacilo kdyz jsem videl, jak se zachovali k vysledkum testu od Matouska... sasci...

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Pracovní nabídky v SAP Services připravují roboti

Pavel Houser , 28. květen 2017 08:00

Ve společnosti SAP Services se podařilo zautomatizovat tvorbu pracovních nabídek napříč různými země...

Více 1 komentářů

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Starší zprávičky

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů