Stort hull i fem av seks brannmurer

Stort hull i fem av seks brannmurer

Check Point eneste testede brannmur som stenger for kjent svakhet.

Fem av seks helt vanlige brannmurer er åpen for angrep gjennom en velkjent svakhet, viser en fersk test i regi av NSS Labs.

NSS testet seks brannmurer for ordinære svakheter. Bakdøra de fant, gir en cracker mulighet for å bryte seg inn med en teknikk kalt TCP Split Handshake Attack. Den gir en angriper muligheten for å komme inn i et nettverk som en ip-adresse med privilegier. Da kan en angriper oppføre seg som om pc-en hun angriper med oppfattes som en intern pc i nettverket som angripes.

- Om brannmuren mener du er en godkjent intern pc får du alle sikkerhetsretningslinjer og rettigheter som gis til en pc på innsiden. Da er du fri til å surfe rundt på innsiden av nettverket og hente ut den informasjonen du kan finne, sier Rick Moy, sjef i NSS Labs, til Computerworlds nyhetstjeneste.

Gammel og velkjent

Angrepskode som utnytter svakheten i TCP Split Handshake Attack har vært kjent i et års tid. Den anses å være en enkel metode for innbrudd, som utføres i det en pc forøker å kople seg til et intern-nettverk gjennom en brannmur. Koden lurer brannmuren til å tro at koplingen kommer innenfra og ikke utenfra. Slike koplinger blir gjerne ikke logget fordi de skjer før en oppkopling er ferdigstilt og sikkerhetssystemet er helt våken. De er dermed vanskelig å spore.

De seks testete brannmurene var Check Point Power-1 11065, Cisco ASA 5585-40, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020 og Sonicwall NSA E8500. Alle unntatt Check Point åpnet for TCP Split Handshake.

Uavhengig og kritisert

NSS foretar uavhengige tester av sikkerhetsprodukter. Deres inntekter kommer fra at de komplette testrapportene selges til deltakerne i testen og andre interesserte. Initiativet til testene kommer enten fra leverandører eller fra NSS Labs selv.

Testene til NSS er omfattende og tøffe, og ikke bare populære hos leverandørene av sikkerhetsutstyr. I denne testen førte det til tre av seks brannmurer ble levert av kundene til enkeltleverandører etter at leverandørene selv ikke ville bidra direkte. ”Network Firewall 2011 Comparative Test Results” er blant de testene som er utført etter eget initiativ fra NSS Labs.

- Kunder som leverer utstyr til oss for testing er for eksempel selskaper som driver med finansvirksomhet og som vil vite om det er noen sårbarheter i brannmuren de bruker for å verne sensitive klientdata, forteller Moy.

En av stabilitetstestene var så dryg at de fikk brannmurene fra Fortinet, Sonicwall og Juniper til å kræsje.

Leverandørene som kommer dårlig ut takler det litt forskjellig. Cisco meddeler at de samarbeider med NSS for å fikse problemet så snart som mulig. Fortinet kommer til å tette hullet i mai. Juniper kan stilles inn til å stoppe denne type angrep, men det vil gi lavere yteevne. Palo Alto vil tette hullet etter hvert, og i mellomtiden kan brannmuren stilles inn for tetting og dårligere yteevne.

- Vi i Cisco PSIRT (Cisco Product Security Incident Response Team) fortsetter å arbeide med NSS Labs, og vil følge våre veletablerte prosesser dersom eventuelle nye sikkerhetstrusler eller risiki kommer frem, understreker Thomas Ludvik Næss, som er sjef for sikkerhetsproduktene i Cisco i Nord-Europa til Computerworld.

Sonicwall mener NSS slurver med oppsettet:

- SonicOS har hatt innebygd vern mot "TCP Split Handshake Spoof" siden versjon 3.0 i 2004. NSS har imidlertid latt være å aktivere det innebygde vernet under testingen. Dette er til tross for at vi understreket at det måtte gjøres for å få et riktig og etterettelig resultat, sier Dennis Bergström, som er teknologiansvarlig for Sonicwall i Norden.

Les mer: Lar seg lure av nettverk og usb

Les om: