Некоторые из наиболее распространенных брандмауэров подвержены уязвимостям,
которые дают атакующим возможность обмануть файрвол и пробраться во внутреннюю
сеть на основе доверенного IP-соединения.

В NSS Labs недавно протестировали полдюжины сетевых брандмауэров для того,
чтобы выявить слабые места в системах безопасности и выяснили, что все, кроме
одного из них, являются уязвимыми для типа атаки, которая называется "TCP Split
Handshake Attack", которая позволяет хакеру, находясь на расстоянии, обманывать
брандмауэр и заставлять его считать, что то или иное IP-соединение является
доверенным.

"Если брандмауэр считает, что ты внутри, политика безопасности, которая
применяется к тебе – внутренняя, и ты можешь, например, запустить сканирование
для того, чтобы определить, где и какие находятся компьютеры", — говорит Рик
Мой, президент NSS Labs. "Атакующий может затем делать в сети, что ему
вздумается, потому что брандмауэр неверно считает IP-адрес доверенным и
находящимся за брандмауэром".

На этой неделе
NSS Labs
опубликовала документ об исследовании "Network
Firewall 2011 Comparative Test Results
", содержащий его результаты. NSS Labs
– хорошо известная организация, занимающаяся тестированием продуктов,
оценивающая широкий спектр систем безопасности, проводящая как спонсируемые
производителями сравнительные тесты, так и совершенно независимые тесты по
собственной инициативе. Network Firewall 2011 Comparative Test, опубликованный
на этой неделе, принадлежит к независимой группе тестов, поэтому NSS Labs взяла
все расходы на себя.

NSS Labs провели независимые тесты Check Point Power-1 11065, Cisco ASA
5585-40, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020 и
SonicWall NSA E8500.

Мой отметил, что производители неохотно принимают участие в тестах, которые
проводит NSS Labs и что на самом деле около половины файрволов были
предоставлены конечными пользователями, такими, например, как фирмы,
занимающиеся предоставлением финансовых услуг, которые поддержали тест, потому
что хотели узнать о возможных уязвимостях в используемых ими брандмауэрах.

В докладе NSS Labs сказано: "Пять из шести продуктов позволили удаленным
атакующим обойти брандмауэр и стать внутренним доверенным компьютером".
Единственный брандмауэр из протестированных NSS Labs, который не позволил этого
сделать, был Check Point.

Мой говорит, что эксплойт, который был использован в ходе проведения
тестирования, известен под именем "TCP Split Handshake", он  начинает
действовать в момент установления связи брандмауэра и любого другого хоста, во
время процесса "обмена
рукопожатиями
" для того, чтобы установить соединение. Мой говорит, что о
коде атаки известно примерно год. "Это простой способ для атакующего стать
частью сети. Самое коварное – это то, что он начинает действовать на стадии
"обмена рукопожатиями", поэтому вряд ли атака будет зарегистрирована в логах или
вызовет объявление тревоги", — утверждает Мой.

Производители, чье оборудование не прошло тест "TCP Split Handshake",
находятся на различных стадиях исправления проблемы, указывает доклад.

Говорят, что Cisco в настоящее время работает с NSS Labs над этим делом и
"рекомендации будут предоставлены как только они будут готовы".

"Fortinet в настоящее время не предоставляет клиентам защиту от TCP Split
handshake attack", — сказано в докладе, но, согласно NSS Labs, Fortinet
сообщила, что такая защита будет включена в предстоящий релиз в мае.

"По умолчанию, Juniper не задействует защиту от TCP Split Handshake attack",
но NSS labs рекомендует, чтобы клиенты Juniper изучили конфигурации своих
файрволов и следовали рекомендациям, представленным в докладе. Эксперты NSS Labs
предупреждают, что "защита может негативно повлиять на производительность и/или
привести к сбоям в работе приложений, которые не используют TCP должным
образом".

Кроме того в докладе освещены и другие находки в системах безопасности.
"Производительность, заявленная в информационных листах вендоров, чрезвычайно
завышена", — утверждают NSS Labs. Помимо этого 3 из 6 протестированных продуктов
перестали работать в ходе определенных тестов на стабильность, что само по себе
очень плохо, потому как атакующий может пользоваться этим постоянно, особенно
потому, что нестабильность может быть вызвана уязвимостями в программном
обеспечении. Check Point Power-1, Cisco ASA firewall 5585-40 и Palo Alto PA-4020
прошли тест, названный protocol fuzzing and mutation, но Fortinet 3950B и
SonicWall NSA E8500 этот тест не прошли.

Доклад NSS Labs также включает анализ цен всего протестированного
программного обеспечения, а также количество средств, необходимых для
пользования им.



Оставить мнение