Velký test NSS Labs ukázal, že běžně používané firemní firewally jsou plné chyb

Pavel Houser , 20. duben 2011 10:34 3 komentářů

Lupa_0
Velká část nejpopulárnějších firemních firewallů obsahuje chyby, které útočníkovi umožňují vydávat se za důvěryhodnou IP adresu, a proniknout tak do vnitřní sítě. Firmy se tudíž na tuto ochranu tak nemohou plně spoléhat.


Check Point Power-1 11065, jeden ze tří firewallů, který testem prošel.

Použitý typ útoku s názvem TCP Handshake Split Attack umožňuje předstírat, že adresa, z níž se uskutečňuje spojení, se nachází uvnitř firemní sítě. Pro interní spojení pak už samozřejmě platí jiná bezpečnostní pravidla; v některých případech může útočník volně skenovat další počítače v síti a bez omezení přistupovat k souborových serverům a síťovým diskům.

„V našem testování jsme používali stejné metody a postupy k narušení firewallu, které by použili dnešní hackeři. NSS test firewallů příští generace je jedinečný, žádná jiná společnost nenabízí podobný test na stejně vysoké úrovni.. Firmám nabízí důslednou a především nezávislou analýzu,“ komentuje test Rick Moy, prezident NSS Labs.

Za zdůraznění stojí, že popsané chyby se netýkají firewallů pro osobní použití nebo zdarma dostupných produktů, ale nákladných řešení určených i pro větší organizace.


V testu NSS Labs se objevily tyto produkty:

Check Point Power-1 11065
Cisco ASA 5585
Fortinet Fortigate 3950
Juniper SRX 5800
Palo Alto Networks PA-4020
SonicWALL NSA E8500

Plná verze studie je k dispozici pouze platícím zákazníkům. NSS Labs ovšem uvádí, že TCP Handshake Split Attack dokázal překonat 5 ze 6 firewallů a odolal mu pouze Check Point Power-1 11065. Juniper SRX 5800 nenabízí ochranu ve výchozím nastavení, firewall lze takto ovšem nakonfigurovat. Ani to však nemusí být bez problémů, změny mohou mít dopad na rychlost filtrování nebo narušit fungování aplikací, které nepoužívají protokol TCP přesně podle normy.

Ostatní dodavatelé samozřejmě více-méně přislíbili, že zjednají nápravu. Nemusí to být ale bez problémů, takové ad-hoc zásady mohou opět negativně ovlivnit výkon.

Popsaný typ útoku je znám asi rok. Vážným problémem je nejen samotný průnik, ale i to, že po akci prakticky nezůstane stopa (alespoň na úrovni firewallu).


Cisco ASA 5585

NSS Labs mj. také kritizuje dodavatele, že ve své dokumentaci hrubě nadsazují výkon (propustnost) svých firewallů. Check Point Power-1, Cisco ASA 5585 a Palo Alto PA-4020 na rozdíl od dalších 3 produktů obstály v testu stability. Toto kritérium rovněž není zanedbatelné; firewall může totiž zhavarovat náhodou, ale v případě, že jde o výsledek známé softwarové chyby, se jej útočník může pokusit i shodit na dálku, a otevřít si tak cestu do sítě.

Placená část studie dále obsahuje mj. i celkový žebříček, do něhož jsou započítány i náklady na vlastnictví jednotlivých produktů.

Chyba mezi klávesnicí a židlí v oddělení, kde jí nečekáte


Zdaleka ne za všechny nedostatky firewallů ale padají na vrub dodavatelů. Sami zákazníci často volí nevhodnou architekturu umístění serverů, alespoň to tvrdí nedávný průzkum Arbor Networks. Výsledkem špatného pojetí demilitarizované zóny může být třeba to, že útoky DDoS
pak nezasáhnou jen webový server, ale mají dopad i na fungování vnitrofiremní sítě.

Juniper SRX 5800

Z novinek týkajících se firewallů stojí v poslední době za zmínku rovněž Oracle Database Firewall, který je speciálně navržen pro ochranu databází. Obsahuje nástroje pro analýzu SQL dotazu, které by jednak měly zabránit útokům zvnějšku v podobě SQL injection, ale
rovněž mají chránit databázi před neoprávněným přístupem zevnitř firmy (tj. pokus o eskalaci oprávnění).

Závěr?

Studie NNS Labs není rozhodně jediným dokladem toho, že firewally vesměs zaostaly za vývojem hrozeb. Již před dvěma lety vedl právě k tomuto závěru průzkum Palo Alto Networks (jeden z dodavatelů i v testu NSS Labs).

Důsledky chyb firewallů ale na druhé straně není třeba přeceňovat. Firewally byly před cca 15 lety jedním z prvních typů bezpečnostních řešeních, které se objevilo jako reakce na nástup Internetu; tehdy byly nezastupitelné. Z hlediska současné situace už ale firewall
nepředstavuje tak klíčovou součást zabezpečení, jako tomu bylo ještě před třeba 5 lety.

Firewall nijak nechrání před problémy spojenými s přenosnými paměťovými médii nebo hrozbami pocházejícími od vnitřních nepřátel. Klíčovou roli dnes hraje hraje ochrana koncových bodů (včetně mobilních zařízení) a kontrola nad obsahem během celého jeho životního cyklu. Pokud se např. na firemním souborovém serveru nacházejí citlivé informace, měly by mít stejně definována přístupová oprávnění. To, že útočník pronikne firewallem maskován jako IP adresa ve vnitřní síti, by mu v případě dobře řešeného zabezpečení k úspěchu ještě nemělo stačit.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 20. duben 2011 21:29

Ach jo, a odkaz na tu studii by nebyl? To si to musím Googlovat?

Karel Wolf 22. duben 2011 00:33

Studie samotna je placena a neni mozne ji tudiz predavat tretim stranam, odkaz na jeji resersi nicmene doplnen.
- Karel Wolf -

xaint #2
xaint 22. duben 2011 07:31

Koukam ze sasci z fortinetu zase maj velkej FAIL, jako vzdycky :-) stacilo kdyz jsem videl, jak se zachovali k vysledkum testu od Matouska... sasci...


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů

Americký Oracle převezme českou programátorskou firmu Apiary

ČTK , 20. leden 2017 12:00

Americký výrobce podnikového softwaru Oracle podepsal dohodu o převzetí české programátorské firmy A...

Více 0 komentářů

Starší zprávičky

Internetová ekonomika za pět let posílila o 15 procent na 188 miliard

ČTK , 20. leden 2017 07:00

Objem internetové ekonomiky se předloni proti roku 2011 zvýšil o 15 procent na 188 miliard korun. Na...

Více 0 komentářů

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů