Velký test NSS Labs ukázal, že běžně používané firemní firewally jsou plné chyb

Pavel Houser , 20. duben 2011 10:34 3 komentářů

Lupa_0
Velká část nejpopulárnějších firemních firewallů obsahuje chyby, které útočníkovi umožňují vydávat se za důvěryhodnou IP adresu, a proniknout tak do vnitřní sítě. Firmy se tudíž na tuto ochranu tak nemohou plně spoléhat.


Check Point Power-1 11065, jeden ze tří firewallů, který testem prošel.

Použitý typ útoku s názvem TCP Handshake Split Attack umožňuje předstírat, že adresa, z níž se uskutečňuje spojení, se nachází uvnitř firemní sítě. Pro interní spojení pak už samozřejmě platí jiná bezpečnostní pravidla; v některých případech může útočník volně skenovat další počítače v síti a bez omezení přistupovat k souborových serverům a síťovým diskům.

„V našem testování jsme používali stejné metody a postupy k narušení firewallu, které by použili dnešní hackeři. NSS test firewallů příští generace je jedinečný, žádná jiná společnost nenabízí podobný test na stejně vysoké úrovni.. Firmám nabízí důslednou a především nezávislou analýzu,“ komentuje test Rick Moy, prezident NSS Labs.

Za zdůraznění stojí, že popsané chyby se netýkají firewallů pro osobní použití nebo zdarma dostupných produktů, ale nákladných řešení určených i pro větší organizace.


V testu NSS Labs se objevily tyto produkty:

Check Point Power-1 11065
Cisco ASA 5585
Fortinet Fortigate 3950
Juniper SRX 5800
Palo Alto Networks PA-4020
SonicWALL NSA E8500

Plná verze studie je k dispozici pouze platícím zákazníkům. NSS Labs ovšem uvádí, že TCP Handshake Split Attack dokázal překonat 5 ze 6 firewallů a odolal mu pouze Check Point Power-1 11065. Juniper SRX 5800 nenabízí ochranu ve výchozím nastavení, firewall lze takto ovšem nakonfigurovat. Ani to však nemusí být bez problémů, změny mohou mít dopad na rychlost filtrování nebo narušit fungování aplikací, které nepoužívají protokol TCP přesně podle normy.

Ostatní dodavatelé samozřejmě více-méně přislíbili, že zjednají nápravu. Nemusí to být ale bez problémů, takové ad-hoc zásady mohou opět negativně ovlivnit výkon.

Popsaný typ útoku je znám asi rok. Vážným problémem je nejen samotný průnik, ale i to, že po akci prakticky nezůstane stopa (alespoň na úrovni firewallu).


Cisco ASA 5585

NSS Labs mj. také kritizuje dodavatele, že ve své dokumentaci hrubě nadsazují výkon (propustnost) svých firewallů. Check Point Power-1, Cisco ASA 5585 a Palo Alto PA-4020 na rozdíl od dalších 3 produktů obstály v testu stability. Toto kritérium rovněž není zanedbatelné; firewall může totiž zhavarovat náhodou, ale v případě, že jde o výsledek známé softwarové chyby, se jej útočník může pokusit i shodit na dálku, a otevřít si tak cestu do sítě.

Placená část studie dále obsahuje mj. i celkový žebříček, do něhož jsou započítány i náklady na vlastnictví jednotlivých produktů.

Chyba mezi klávesnicí a židlí v oddělení, kde jí nečekáte


Zdaleka ne za všechny nedostatky firewallů ale padají na vrub dodavatelů. Sami zákazníci často volí nevhodnou architekturu umístění serverů, alespoň to tvrdí nedávný průzkum Arbor Networks. Výsledkem špatného pojetí demilitarizované zóny může být třeba to, že útoky DDoS
pak nezasáhnou jen webový server, ale mají dopad i na fungování vnitrofiremní sítě.

Juniper SRX 5800

Z novinek týkajících se firewallů stojí v poslední době za zmínku rovněž Oracle Database Firewall, který je speciálně navržen pro ochranu databází. Obsahuje nástroje pro analýzu SQL dotazu, které by jednak měly zabránit útokům zvnějšku v podobě SQL injection, ale
rovněž mají chránit databázi před neoprávněným přístupem zevnitř firmy (tj. pokus o eskalaci oprávnění).

Závěr?

Studie NNS Labs není rozhodně jediným dokladem toho, že firewally vesměs zaostaly za vývojem hrozeb. Již před dvěma lety vedl právě k tomuto závěru průzkum Palo Alto Networks (jeden z dodavatelů i v testu NSS Labs).

Důsledky chyb firewallů ale na druhé straně není třeba přeceňovat. Firewally byly před cca 15 lety jedním z prvních typů bezpečnostních řešeních, které se objevilo jako reakce na nástup Internetu; tehdy byly nezastupitelné. Z hlediska současné situace už ale firewall
nepředstavuje tak klíčovou součást zabezpečení, jako tomu bylo ještě před třeba 5 lety.

Firewall nijak nechrání před problémy spojenými s přenosnými paměťovými médii nebo hrozbami pocházejícími od vnitřních nepřátel. Klíčovou roli dnes hraje hraje ochrana koncových bodů (včetně mobilních zařízení) a kontrola nad obsahem během celého jeho životního cyklu. Pokud se např. na firemním souborovém serveru nacházejí citlivé informace, měly by mít stejně definována přístupová oprávnění. To, že útočník pronikne firewallem maskován jako IP adresa ve vnitřní síti, by mu v případě dobře řešeného zabezpečení k úspěchu ještě nemělo stačit.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 20. duben 2011 21:29

Ach jo, a odkaz na tu studii by nebyl? To si to musím Googlovat?

Karel Wolf 22. duben 2011 00:33

Studie samotna je placena a neni mozne ji tudiz predavat tretim stranam, odkaz na jeji resersi nicmene doplnen.
- Karel Wolf -

xaint #2
xaint 22. duben 2011 07:31

Koukam ze sasci z fortinetu zase maj velkej FAIL, jako vzdycky :-) stacilo kdyz jsem videl, jak se zachovali k vysledkum testu od Matouska... sasci...

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Vodafone testuje se svými zákazníky zařízení pro NB-IoT

Pavel Houser , 25. duben 2017 18:03

Úzkopásmový Internet věcí má využití v průmyslu, dopravě, ale i službách pro koncové uživatele....

Více 0 komentářů

Zakladatel Wikipedie vytváří zpravodajskou platformu Wikitribune

ČTK , 25. duben 2017 18:03

Zakladatel internetové encyklopedie Wikipedia Jimmy Wales vytváří zpravodajskou platformu Wikitribun...

Více 0 komentářů

JIC investuje do spin-offu z CEITEC VUT z oblasti elektronové mikroskopie

Pavel Houser , 25. duben 2017 08:00

Jihomoravské inovační centrum věří, že trh s nanotechnologiemi poroste. Proto investuje do firmy Nen...

Více 0 komentářů

Starší zprávičky

EK prý zvažuje legislativní kroky v boji proti projevům nenávisti

ČTK , 24. duben 2017 16:00

Evropská komise zvažuje legislativní kroky k harmonizaci metod, kterými internetové platformy jako F...

Více 5 komentářů

Rusko prý špehovalo e-maily příslušníků dánské armády

ČTK , 24. duben 2017 14:00

Rusko pomocí skupiny hackerů proniklo do systémů dánské armády a v letech 2015 a 2016 mělo přístup k...

Více 1 komentářů

Philipsu vzrostl čtvrtletní zisk o 18 %, překonal očekávání

ČTK , 24. duben 2017 11:43

Nizozemskému výrobci elektroniky Philips se zvýšil čtvrtletní zisk o 18 procent na 442 milionů eur (...

Více 0 komentářů

Baterie se vozí loděmi, jsou kvůli tomu dražší?

Pavel Houser , 24. duben 2017 10:47

Dříve byly akumulátory přepravovány jako běžné zásilky, před 5 lety ale byly přeřazeny do kategorie ...

Více 2 komentářů