Velký test NSS Labs ukázal, že běžně používané firemní firewally jsou plné chyb

Pavel Houser , 20. duben 2011 10:34 3 komentářů

Lupa_0
Velká část nejpopulárnějších firemních firewallů obsahuje chyby, které útočníkovi umožňují vydávat se za důvěryhodnou IP adresu, a proniknout tak do vnitřní sítě. Firmy se tudíž na tuto ochranu tak nemohou plně spoléhat.


Check Point Power-1 11065, jeden ze tří firewallů, který testem prošel.

Použitý typ útoku s názvem TCP Handshake Split Attack umožňuje předstírat, že adresa, z níž se uskutečňuje spojení, se nachází uvnitř firemní sítě. Pro interní spojení pak už samozřejmě platí jiná bezpečnostní pravidla; v některých případech může útočník volně skenovat další počítače v síti a bez omezení přistupovat k souborových serverům a síťovým diskům.

„V našem testování jsme používali stejné metody a postupy k narušení firewallu, které by použili dnešní hackeři. NSS test firewallů příští generace je jedinečný, žádná jiná společnost nenabízí podobný test na stejně vysoké úrovni.. Firmám nabízí důslednou a především nezávislou analýzu,“ komentuje test Rick Moy, prezident NSS Labs.

Za zdůraznění stojí, že popsané chyby se netýkají firewallů pro osobní použití nebo zdarma dostupných produktů, ale nákladných řešení určených i pro větší organizace.


V testu NSS Labs se objevily tyto produkty:

Check Point Power-1 11065
Cisco ASA 5585
Fortinet Fortigate 3950
Juniper SRX 5800
Palo Alto Networks PA-4020
SonicWALL NSA E8500

Plná verze studie je k dispozici pouze platícím zákazníkům. NSS Labs ovšem uvádí, že TCP Handshake Split Attack dokázal překonat 5 ze 6 firewallů a odolal mu pouze Check Point Power-1 11065. Juniper SRX 5800 nenabízí ochranu ve výchozím nastavení, firewall lze takto ovšem nakonfigurovat. Ani to však nemusí být bez problémů, změny mohou mít dopad na rychlost filtrování nebo narušit fungování aplikací, které nepoužívají protokol TCP přesně podle normy.

Ostatní dodavatelé samozřejmě více-méně přislíbili, že zjednají nápravu. Nemusí to být ale bez problémů, takové ad-hoc zásady mohou opět negativně ovlivnit výkon.

Popsaný typ útoku je znám asi rok. Vážným problémem je nejen samotný průnik, ale i to, že po akci prakticky nezůstane stopa (alespoň na úrovni firewallu).


Cisco ASA 5585

NSS Labs mj. také kritizuje dodavatele, že ve své dokumentaci hrubě nadsazují výkon (propustnost) svých firewallů. Check Point Power-1, Cisco ASA 5585 a Palo Alto PA-4020 na rozdíl od dalších 3 produktů obstály v testu stability. Toto kritérium rovněž není zanedbatelné; firewall může totiž zhavarovat náhodou, ale v případě, že jde o výsledek známé softwarové chyby, se jej útočník může pokusit i shodit na dálku, a otevřít si tak cestu do sítě.

Placená část studie dále obsahuje mj. i celkový žebříček, do něhož jsou započítány i náklady na vlastnictví jednotlivých produktů.

Chyba mezi klávesnicí a židlí v oddělení, kde jí nečekáte


Zdaleka ne za všechny nedostatky firewallů ale padají na vrub dodavatelů. Sami zákazníci často volí nevhodnou architekturu umístění serverů, alespoň to tvrdí nedávný průzkum Arbor Networks. Výsledkem špatného pojetí demilitarizované zóny může být třeba to, že útoky DDoS
pak nezasáhnou jen webový server, ale mají dopad i na fungování vnitrofiremní sítě.

Juniper SRX 5800

Z novinek týkajících se firewallů stojí v poslední době za zmínku rovněž Oracle Database Firewall, který je speciálně navržen pro ochranu databází. Obsahuje nástroje pro analýzu SQL dotazu, které by jednak měly zabránit útokům zvnějšku v podobě SQL injection, ale
rovněž mají chránit databázi před neoprávněným přístupem zevnitř firmy (tj. pokus o eskalaci oprávnění).

Závěr?

Studie NNS Labs není rozhodně jediným dokladem toho, že firewally vesměs zaostaly za vývojem hrozeb. Již před dvěma lety vedl právě k tomuto závěru průzkum Palo Alto Networks (jeden z dodavatelů i v testu NSS Labs).

Důsledky chyb firewallů ale na druhé straně není třeba přeceňovat. Firewally byly před cca 15 lety jedním z prvních typů bezpečnostních řešeních, které se objevilo jako reakce na nástup Internetu; tehdy byly nezastupitelné. Z hlediska současné situace už ale firewall
nepředstavuje tak klíčovou součást zabezpečení, jako tomu bylo ještě před třeba 5 lety.

Firewall nijak nechrání před problémy spojenými s přenosnými paměťovými médii nebo hrozbami pocházejícími od vnitřních nepřátel. Klíčovou roli dnes hraje hraje ochrana koncových bodů (včetně mobilních zařízení) a kontrola nad obsahem během celého jeho životního cyklu. Pokud se např. na firemním souborovém serveru nacházejí citlivé informace, měly by mít stejně definována přístupová oprávnění. To, že útočník pronikne firewallem maskován jako IP adresa ve vnitřní síti, by mu v případě dobře řešeného zabezpečení k úspěchu ještě nemělo stačit.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 20. duben 2011 21:29

Ach jo, a odkaz na tu studii by nebyl? To si to musím Googlovat?

Karel Wolf 22. duben 2011 00:33

Studie samotna je placena a neni mozne ji tudiz predavat tretim stranam, odkaz na jeji resersi nicmene doplnen.
- Karel Wolf -

xaint #2
xaint 22. duben 2011 07:31

Koukam ze sasci z fortinetu zase maj velkej FAIL, jako vzdycky :-) stacilo kdyz jsem videl, jak se zachovali k vysledkum testu od Matouska... sasci...

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů