Er din brannmur sikker?

Er din brannmur sikker?

Produkter fra rekke av de store brannmureprodusentene har vist seg å ha en betydelig svakhet. NSS Labs har testet brannmurer fra seks produsenter og funnet at fem er sårbare for «TCP Split Handshake».

NSS Labs er en uavhengig organisasjon for sikkerhetstesting. I sin «Network Firewall Comparative Group Test Report» for Q1 2011 konkluderer de med at produkter fra flere kjente brannmurprodusenter har betydelige svakheter. De påpeker selv tre hovedfunn i testingen.

Kun tre av seks produkter overlevde stabilitetstestingen og forble i drift. Dette er alarmerende siden alle produktene i testen er ICSA Labs og Common Criteria sertifisert. Normalt forventer man at brannmuren skal hjelpe til med å beskytte mot tjenestenektangrep, men her ser vi at brannmuren kan være en del av problemet.

Fem av seks produsenter taklet ikke «TCP Split Handshake»-angrep, noe som potensielt kan gi en angriper mulighet til å omgå brannmuren. Dette gir angriperen en mulighet til å fremstå som han er på innsiden av brannmuren, og en del av lokalnettverket. Som en del av det interne nettverket vil angriperen bli underlagt en helt annen sikkerhetspolicy enn eksterne brukere. Angrepskode for «TCP Split Handshake» har vært tilgjengelig og kjent i rundt et år.

NSS Labs kommenterte også at den oppgitt ytelsen til produktene ikke samsvarer med virkelig bruk. Alle ytelsestall er i forhold til i RFC-2544 (UDP) isteden for en mer virkelighetstro testing som for eksempel IMIX. Dette gjør at de oppgitte ytelsestallene framstår som grovt overdrevede.

Begrenset vilje

Ifølge NSS Labs var det begrenset vilje fra produsentene til å delta i testen. De fikk låne halvparten av produkter fra sluttkunder som ønsket å se produktene testet.

De testede produktene var Check Point Power-1 11065, Cisco ASA 5585-40, Fortinet Fortigate 3950,Juniper SRX 5800, Palo Alto Networks PA-4020 og SonicWall NSA E8500.

I «TCP Split handshake»-testen var det kun Check Point som passerte. Sonicwall kan konfigureres til å beskytte mot angrepet, men dette er ikke aktivert i standardkonfigurasjonen. Det samme gjelder Juniper, men rapporten påpeker at dette kan påvirke ytelsen. Programvare som ikke håndterer TCP riktig kan også bli påvirket. Cisco, Fortinet og Palo Alto jobber med å rette problemet og vil komme med oppdateringer.

Stabilitetstesten ble godkjent for Check point, Cisco og Palo Alto.