Güvenlik duvarlarında TCP split handshake güvenlik açığı
Gönderilme zamanı: 14 Nis 2011, 20:33
Genel kullanımda olan bazı güvenlik duvarlarında saldırganların güvenlik duvarını kandırıp dahili ağa güvenilir IP bağlantısı kurabildiği tespit edildi.
NSS Labs yarım düzine ağ güvenlik duvarı test etti ve bunlardan biri hariç (Check Point) hepsinin "TCP Split Handshake" saldırısından etkilendiğini tespit etti. Bu saldırıda hacker uzaktan güvenlik duvarını kandırarak güvenilir bir IP bağlantısı olarak bağlanabiliyor.
NSS Labs başkanı Rick Moy "Eğer güvenlik duvarı sizin içeride olduğunuzu düşünürse, size uygulanan güvenlik politikası içeriye uygulanandır ve makinaları istediğiniz gibi tarayabilirsiniz".
NSS Labs bu hafta "Ağ Güvenlik Duvarları 2011 Karşılaştırma Test Sonuçları" isimli araştırma raporunu yayınladı. NSS Labs ürünlerin güvenliğini test eden tanınmış bir kuruluş. Bazen üretici firmaların sponsorluğunda karşılaştırmalı testler gerçekleştiriyor bazen de tamamen bağımsız olarak. 2011 Karşılaştırma testleri bağımsız olarak gerçekleştirdikleri, harcamaların tamamen kendileri tarafından karşılandığı bir test.
NSS Labs'in test ettiği ürünler:
* Check Point Power-1 11065
* Cisco ASA 5585-40
* Fortinet Fortigate 3950
* Juniper SRX 5800
* Palo Alto Networks PA-4020
* SonicWall NSA E8500
Moy üretici firmaların genelde testlere iştirak etmede isteksiz olduklarını ve testlerde kullanılan güvenlik duvarı ekipmanlarının tamamen son kullanıcı müşterilerden (satın aldıkları güvenlik çözümlerinde açıklar olup olmadığını merak eden finans kuruluşları vb) temin edildiğini söylüyor.
NSS Labs raporunda 6 güvenlik duvarı ürününden beşi dışarıdan saldıranların güvenlik duvarını atlatmasına ve dahili "güvenilen makina" olmasına izin verdiği, bundan etkilenmeyen tek güvenlik duvarının Check Point olduğu belirtiliyor.
Testlerde kullanılan exploit güvenlik duvarı ile herhangi bir bağlantının başlangıcı sırasında, bağlantı kurulma başlangıcındaki TCP "el sıkışma" aşamasında kullanılan "TCP Split Handshake". Kullanılan saldırı kodu bir yıldır internette bulunuyor. İşlemin el sıkışma aşamasında gerçekleşmesi kayıtlara (log) düşmesi ihtimalini da azaltıyor.
Raporda testte başarısız olan ürün firmaları bu açığı kapatmak için çalışıyorlar.
Cisco bu konuyla ilgili olarak NSS Labs ile çalıştıklarını ve en kısa zamanda çözümleri sunacaklarını duyurdu.
Fortinet mayıs ayında bu saldırıya karşı koruma sağlıyor olacak.
Palo Alto yeni sürümde yama olacağını belirtmiş.
NSS Labs güvenlik değerlendirmesinde performans oranları da (üretici firmaların belirttikleri ile karşılaştırmalı) sunuluyor. Raporda üretici firmaların performans iddialarının genelde abartılmadığı belirtilmiş.
Ek olarak 6 üründen üçü belirli bazı dayanıklılık testlerinde çökmüş ve bu da bir saldırgan tarafından kullanılabileceği için önemli olduğu belirtilmiş.
Protocol fuzz ve mutasyon testlerinde ise Cisco, Palo Alto ve Check Point testleri geçmiş fakat Fortinet ile SonicWall geçememiş.
Raporda test edilen tüm güvenlik duvarları için satın alım fiyatları vb. analizler de içeriliyor.
Kaynak:
http://www.networkworld.com/news/2011/0 ... walls.html