一些最常用的防火墙都受到了黑客攻击,让攻击者欺骗防火墙进入内部网络的可信IP连接。
更多关于安全:20个IT安全热点问题
NSS实验室最近测试了半打的网络防火墙,以评估安全弱点,以及所有,但其中一人被认为是容易受到被称为“TCP分割握手攻击”,让黑客远程欺骗防火墙以为一个IP类型的攻击连接是防火墙的可信之一。
NSS实验室的总裁Rick Moy说:“如果防火墙认为你在里面,它适用于你的安全策略是内部的,你可以运行一个扫描来查看机器在哪里。”这样,攻击者就可以在网络中肆意妄为,因为防火墙错误地将IP地址视为来自防火墙后面的可信IP地址。
本周NSS实验室公布了“网络防火墙2011的比较试验结果“关于调查结果的研究论文。NSS实验室是一个著名的产品测试机构,评估广泛的安全设备的,有时是厂商赞助的对比试验,根据自己的判断有时是完全独立的测试。网络防火墙2011对比测试本周公布是属于后一类,其中成本是由NSS实验室本身承担全。
NSS实验室独立测试了检查点Power-1 11065,该思科ASA 5585-40, Fortinet防御门3950,Juniper SRX 5800, Palo Alto网络PA-4020,和SonicWall国安局E8500。
Moy指出,供应商一般都不愿意参与NSS实验室做测试的电池,实际上大约一半的防火墙设备测试是由终端用户直接贡献客户,如金融服务公司,它支持测试,因为他们想要了解在他们的防火墙可能的漏洞。
在NSS实验室的报告说,“六个品的五允许外部攻击者绕过防火墙,并成为内部‘值得信赖的机器。’”唯一的防火墙由NSS实验室未是Check Point的一个测试。
莫伊说,利用测试中使用的是被称为“TCP分割握手”,它的防火墙和任何连接被在TCP“握手”过程来建立连接启动点时开始。莫伊说,在野外攻击代码已经知道了大约一年。这是“‘攻击者成为网络的一部分,一个简单的方法,’他说。有什么特别阴险它是因为它发生在握手阶段,他们不太可能日志和与攻击相关的警报,莫伊说。
这些供应商,其设备没有通过在不同的整治阶段“TCP分割握手”安全测试,根据该报告。
思科据说与NSS实验室进行目前正在对这个问题,“因为它们提供了一些建议,将提供尽快。”
“Fortinet公司目前不提供客户对TCP握手分割攻击保护,”报告说,但NSS实验室表示,Fortinet公司已表示,一个将被包含在五月即将到来的释放实验室。
报告指出:“默认情况下,Juniper不启用针对TCP分离握手攻击的保护。”但是NSS实验室建议Juniper客户检查他们的防火墙配置,并遵循报告中描述的指导原则。NSS实验室警告说“保护可能会对性能和/或破坏产生负面影响应用程序未使用TCP正常“。
帕洛阿尔托已经表示他们的目标是在即将发布的官方补丁,根据NSS实验室,将有可能是“在未使用TCP正常性能和/或休息的应用程序产生负面影响。”
默认情况下,SonicWall不启用对TCP分离握手的保护,NSS实验室建议那些客户“尽早检查他们的防火墙配置。”
在NSS实验室安全评估其它发现包括洞察性能吞吐率是在相较于线速率均半打不同的防火墙测试的具体条件由厂商公开发布。
“在供应商的数据表的性能要求通常严重夸大,” NSS实验室指出。
此外,三个测试的六款产品坠毁时受到某些类型的稳定性测试,一个令人不安的情况,因为攻击者可以利用这个随着时间的推移,尤其是在不稳定可能是由于软件缺陷,该报告指出。Check Point的Power-1网络和思科ASA防火墙5585-40和帕洛阿尔托PA-4020通过了测试,称为协议模糊和突变试验,但Fortinet的3950B和SonicWall公司NSA E8500没有。
在NSS实验室的报告还包括与购买价格和所有测试的防火墙的总拥有成本分析。