Velká část nejpopulárnějších firemních firewallů obsahuje chyby, které útočníkovi umožňují vydávat se za důvěryhodnou IP adresu, a proniknout tak do vnitřní sítě. Firmy se tudíž na tuto ochranu tak nemohou plně spoléhat.
Check Point Power-1 11065, jeden ze tří firewallů, který testem prošel.
Použitý typ útoku s názvem TCP Handshake Split Attack umožňuje předstírat, že adresa, z níž se uskutečňuje spojení, se nachází uvnitř firemní sítě. Pro interní spojení pak už samozřejmě platí jiná bezpečnostní pravidla; v některých případech může útočník volně skenovat další počítače v síti a bez omezení přistupovat k souborových serverům a síťovým diskům.
„V našem testování jsme používali stejné metody a postupy k narušení firewallu, které by použili dnešní hackeři. NSS test firewallů příští generace je jedinečný, žádná jiná společnost nenabízí podobný test na stejně vysoké úrovni.. Firmám nabízí důslednou a především nezávislou analýzu,“ komentuje test Rick Moy, prezident NSS Labs.
Za zdůraznění stojí, že popsané chyby se netýkají firewallů pro osobní použití nebo zdarma dostupných produktů, ale nákladných řešení určených i pro větší organizace.
V testu NSS Labs se objevily tyto produkty:
Check Point Power-1 11065
Cisco ASA 5585
Fortinet Fortigate 3950
Juniper SRX 5800
Palo Alto Networks PA-4020
SonicWALL NSA E8500
Plná verze studie je k dispozici pouze platícím zákazníkům. NSS Labs ovšem uvádí, že TCP Handshake Split Attack dokázal překonat 5 ze 6 firewallů a odolal mu pouze Check Point Power-1 11065. Juniper SRX 5800 nenabízí ochranu ve výchozím nastavení, firewall lze takto ovšem nakonfigurovat. Ani to však nemusí být bez problémů, změny mohou mít dopad na rychlost filtrování nebo narušit fungování aplikací, které nepoužívají protokol TCP přesně podle normy.
Ostatní dodavatelé samozřejmě více-méně přislíbili, že zjednají nápravu. Nemusí to být ale bez problémů, takové ad-hoc zásady mohou opět negativně ovlivnit výkon.
Popsaný typ útoku je znám asi rok. Vážným problémem je nejen samotný průnik, ale i to, že po akci prakticky nezůstane stopa (alespoň na úrovni firewallu).
Cisco ASA 5585
NSS Labs mj. také kritizuje dodavatele, že ve své dokumentaci hrubě nadsazují výkon (propustnost) svých firewallů. Check Point Power-1, Cisco ASA 5585 a Palo Alto PA-4020 na rozdíl od dalších 3 produktů obstály v testu stability. Toto kritérium rovněž není zanedbatelné; firewall může totiž zhavarovat náhodou, ale v případě, že jde o výsledek známé softwarové chyby, se jej útočník může pokusit i shodit na dálku, a otevřít si tak cestu do sítě.
Placená část studie dále obsahuje mj. i celkový žebříček, do něhož jsou započítány i náklady na vlastnictví jednotlivých produktů.
Chyba mezi klávesnicí a židlí v oddělení, kde jí nečekáte
Zdaleka ne za všechny nedostatky firewallů ale padají na vrub dodavatelů. Sami zákazníci často volí nevhodnou architekturu umístění serverů, alespoň to tvrdí nedávný průzkum Arbor Networks. Výsledkem špatného pojetí demilitarizované zóny může být třeba to, že útoky DDoS
pak nezasáhnou jen webový server, ale mají dopad i na fungování vnitrofiremní sítě.
Juniper SRX 5800
Z novinek týkajících se firewallů stojí v poslední době za zmínku rovněž Oracle Database Firewall, který je speciálně navržen pro ochranu databází. Obsahuje nástroje pro analýzu SQL dotazu, které by jednak měly zabránit útokům zvnějšku v podobě SQL injection, ale
rovněž mají chránit databázi před neoprávněným přístupem zevnitř firmy (tj. pokus o eskalaci oprávnění).
Závěr?
Studie NNS Labs není rozhodně jediným dokladem toho, že firewally vesměs zaostaly za vývojem hrozeb. Již před dvěma lety vedl právě k tomuto závěru průzkum Palo Alto Networks (jeden z dodavatelů i v testu NSS Labs).
Důsledky chyb firewallů ale na druhé straně není třeba přeceňovat. Firewally byly před cca 15 lety jedním z prvních typů bezpečnostních řešeních, které se objevilo jako reakce na nástup Internetu; tehdy byly nezastupitelné. Z hlediska současné situace už ale firewall
nepředstavuje tak klíčovou součást zabezpečení, jako tomu bylo ještě před třeba 5 lety.
Firewall nijak nechrání před problémy spojenými s přenosnými paměťovými médii nebo hrozbami pocházejícími od vnitřních nepřátel. Klíčovou roli dnes hraje hraje ochrana koncových bodů (včetně mobilních zařízení) a kontrola nad obsahem během celého jeho životního cyklu. Pokud se např. na firemním souborovém serveru nacházejí citlivé informace, měly by mít stejně definována přístupová oprávnění. To, že útočník pronikne firewallem maskován jako IP adresa ve vnitřní síti, by mu v případě dobře řešeného zabezpečení k úspěchu ještě nemělo stačit.