Распространенные файерволы содержат уязвимости, позволяющие вторжение в сеть
Распространенные файерволы содержат уязвимости, позволяющие вторжение в сеть
Распространенные файерволы содержат уязвимости, позволяющие вторжение в сеть
14.04.2011
В NSS Labs недавно протестировали полдюжины сетевых брандмауэров для того, чтобы выявить слабые места в системах безопасности и выяснили, что все, кроме одного из них, являются уязвимыми для типа атаки, которая называется "TCP Split Handshake Attack", которая позволяет хакеру, находясь на расстоянии, обманывать брандмауэр и заставлять его считать, что то или иное IP-соединение является доверенным.
"Если брандмауэр считает, что ты внутри, политика безопасности, которая применяется к тебе – внутренняя, и ты можешь, например, запустить сканирование для того, чтобы определить, где и какие находятся компьютеры", - говорит Рик Мой, президент NSS Labs. "Атакующий может затем делать в сети, что ему вздумается, потому что брандмауэр неверно считает IP-адрес доверенным и находящимся за брандмауэром".
На этой неделе NSS Labs опубликовала документ об исследовании "Network Firewall 2011 Comparative Test Results", содержащий его результаты. NSS Labs – хорошо известная организация, занимающаяся тестированием продуктов, оценивающая широкий спектр систем безопасности, проводящая как спонсируемые производителями сравнительные тесты, так и совершенно независимые тесты по собственной инициативе. Network Firewall 2011 Comparative Test, опубликованный на этой неделе, принадлежит к независимой группе тестов, поэтому NSS Labs взяла все расходы на себя.
NSS Labs провели независимые тесты Check Point Power-1 11065, Cisco ASA 5585-40, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020 и SonicWall NSA E8500.
Мой отметил, что производители неохотно принимают участие в тестах, которые проводит NSS Labs и что на самом деле около половины файерволов были предоставлены конечными пользователями, такими, например, как фирмы, занимающиеся предоставлением финансовых услуг, которые поддержали тест, потому что хотели узнать о возможных уязвимостях в используемых ими брандмауэрах.
В докладе NSS Labs сказано: "Пять из шести продуктов позволили удаленным атакующим обойти брандмауэр и стать внутренним доверенным компьютером". Единственный брандмауэр из протестированных NSS Labs, который не позволил этого сделать, был Check Point.
Мой говорит, что эксплойт, который был использован в ходе проведения тестирования, известен под именем "TCP Split Handshake", он начинает действовать в момент установления связи брандмауэра и любого другого хоста, во время процесса "обмена рукопожатиями" для того, чтобы установить соединение. Мой говорит, что о коде атаки известно примерно год. "Это простой способ для атакующего стать частью сети. Самое коварное – это то, что он начинает действовать на стадии "обмена рукопожатиями", поэтому вряд ли атака будет зарегистрирована в логах или вызовет объявление тревоги", - утверждает Мой.
Производители, чье оборудование не прошло тест "TCP Split Handshake", находятся на различных стадиях исправления проблемы, указывает доклад.
Говорят, что Cisco в настоящее время работает с NSS Labs над этим делом и "рекомендации будут предоставлены как только они будут готовы".
"Fortinet в настоящее время не предоставляет клиентам защиту от TCP Split handshake attack", - сказано в докладе, но, согласно NSS Labs, Fortinet сообщила, что такая защита будет включена в предстоящий релиз в мае.
"По умолчанию, Juniper не задействует защиту от TCP Split Handshake attack", но NSS labs рекомендует, чтобы клиенты Juniper изучили конфигурации своих файрволов и следовали рекомендациям, представленным в докладе. Эксперты NSS Labs предупреждают, что "защита может негативно повлиять на производительность и/или привести к сбоям в работе приложений, которые не используют TCP должным образом".
Кроме того в докладе освещены и другие находки в системах безопасности. "Производительность, заявленная в информационных листах вендоров, чрезвычайно завышена", - утверждают NSS Labs. Помимо этого 3 из 6 протестированных продуктов перестали работать в ходе определенных тестов на стабильность, что само по себе очень плохо, потому как атакующий может пользоваться этим постоянно, особенно потому, что нестабильность может быть вызвана уязвимостями в программном обеспечении. Check Point Power-1, Cisco ASA firewall 5585-40 и Palo Alto PA-4020 прошли тест, названный protocol fuzzing and mutation, но Fortinet 3950B и SonicWall NSA E8500 этот тест не прошли.
Доклад NSS Labs также включает анализ цен всего протестированного программного обеспечения, а также количество средств, необходимых для пользования им.
Copyright © 2018-2022, ООО "ГРОТЕК"