Lo ha dimostrato una serie di test condotti dalla società indipendente NSS Labs su prodotti che avevano già ricevuto una serie di certificazioni. I motivi? Errori nel software a corredo e configurazioni di default un po’ troppo permissive.
Durante i suoi consueti test sui prodotti per la sicurezza, la società di
certificazione indipendente NSS Labs ha riscontrato che una serie di
tradizionali firewall di rete non ha superato le prove di stabilità a causa di
errori di programmazione che consentono a un attacker di eludere facilmente i
dispositivi stessi.
I firewall di rete, lo ricordiamo, sono spesso il primo livello per la
difesa del perimetro di molte organizzazioni.
Questi dispositivi hanno la
funzione di consentire o bloccare il traffico di rete sulla base di un insieme
di regole definite dagli amministratori del network stesso. Lo scopo di un
firewall è fornire uno strato di protezione contro gli utenti malintenzionati
che tentano di accedere a una rete aziendale.
“Quanto abbiamo scoperto è
particolarmente rilevante, perché mina l’affidabilità che da sempre le aziende
attribuiscono ai propri firewall – ha dichiarato Rick Moy, presidente e CEO
di NSS Labs -. Abbiamo individuato il
problema in gennaio e abbiamo subito cominciato a lavorare con i vendor nel
tentativo di trovare un rimedio. Però si è proceduto molto lentamente e sinora non
abbiamo ottenuto dai costruttori il supporto che ci saremmo aspettati nella
soluzione di un problema di questo tipo“.
NSS Labs ha condotto un test standardizzato nei confronti di sei firewall di
rete: Check Point Power-1 11.065, Cisco ASA 5585, Fortinet Fortigate 3950,
Juniper SRX 5800, Palo Alto Networks PA-4020 e Sonicwall E8500. Le prove hanno misurato
l’efficacia della sicurezza e le prestazioni e, attraverso
report dedicati, sono stati calcolati il costo delle prestazioni e della gestione.
Tre dei sei firewall non sono riusciti a proseguire regolarmente la loro attività
quando sono stati sottoposti al test di stabilità di NSS Labs.
Moy ha definito
i fallimenti dei firewall allarmanti. Da sottolineare che tutti i dispositivi
testati avevano le certificazioni ICSA Labs e Common Criteria.
“Oltre a consentire un
denial-of-service, tali firewall potrebbero consentire a un attacker di aprirsi
un varco e di entrare all’interno – ha dichiarato Moy -. Uno dei firewall, quando è andato in crash,
ha addirittura permesso di accedere alla root senza richiedere alcuna password“.
Cinque dei sei prodotti non sono riusciti a gestire correttamente uno Split
Handshake TCP o un attacco Sneak ACK. Quest’ultimo, che è simile allo spoofing
IP, sfrutta una tecnica ben nota tra la comunità degli hacker e consente a un
utente malintenzionato di aggirare un firewall, non correndo quasi alcun
rischio di essere rilevato.
Moy ha detto che l’attacco sarebbe passato inosservato nella maggior parte
delle organizzazioni. L’unico modo per visualizzare un attacco in progress è di
allestire un sistema di rilevamento delle intrusioni di fronte al firewall. Tutti
i test sono stati condotti in modo indipendente e non sono stati commissionati
da nessun vendor.
NSS Labs sta vendendo le relazioni relative a ogni firewall,
ma ha redatto alcuni report
sulla sicurezza dei firewall che sono invece disponibili
gratuitamente (previa registrazione).
Se si esclude il Check Point Power-111.065, tutti i dispositivi
provati hanno fallito il test ACK spoofing. “Il problema solitamente risiede nel fatto che la policy di default ha disabilitata
la protezione contro questo tipo attacco – precisa NSS Labs in un suo
report -. In alcuni casi, però, il
prodotto non fornisce proprio alcuna protezione e il suo costruttore sta
sviluppando una patch per risolvere il problema“.
Alcuni esperti di sicurezza osservano che i risultati di NSS Labs non sono in realtà una grande sorpresa: gli attacker spesso trovano delle porte già aperte oppure spostano più in
alto lo stack e mirano allo strato di applicazione per ottenere l’accesso a
dati sensibili.
“La realtà – afferma Pete Lindstrom, research director di Spire Security – è che un firewall oggi è raramente un ostacolo per un hacker esperto“.
Da aggiungere infine che il test condotto da NSS Labs ha anche messo in luce
che RFC-2544, una metodologia
di benchmarking gestita dall’Internet Engineering Task Force (IETF), non
fornisce un’accurata rappresentazione del comportamento di un firewall in un
ambiente reale.
