'Vijf op de zes firewalls deugen niet'

Vijf van de zes populairste zakelijke firewalls voldoen niet. Die conclusie trekt onderzoeksbureau NSS Labs na een test van deze apparaten. De firewalls konden volgens de onderzoekers niet eens beschermen tegen veelvoorkomende aanvallen, bijvoorbeeld tegen bekende kwetsbaarheden in het TCP/IP protocol.

Equivalent van IP spoofing

De medewerkers van NSS Labs onderzochten vorig jaar zes toonaangevende firewalls voor zakelijk gebruik. Uit dat onderzoek bleek, dat met uitzondering van de Check Point Power-1, geen enkele firewall een TCP Split Handshake aanval wist tegen te houden. Deze aanval is een onbekender equivalent van IP spoofing.

Bij IP spoofing wordt de identiteit van een computer nagebootst. Vervolgens krijgen hackers toegang tot de computer die zij willen aanvallen door er via het netwerk verbinding mee te maken. De computer ziet die verbinding dan als van een vertrouwde bron. Volgens NSS-cto Vik Phatak is TCP Split Handshake "praktisch de tweelingbroer of zus van IP spoofing".

Zorgwekkende resultaten

Rick Moy, president van NSS Labs, stelt dat de gebreken in de firewalls zorgwekkend zijn. "De afgelopen 25 jaar hebben veel bedrijven vertrouwd op de firewall als een goed filter. De ontdekkingen in onze test zijn echter significant. Ze geven aan dat bedrijven een vals gevoel van veiligheid hadden door hun firewalls".

NSS Labs testte de Cisco ASA 5585, Fortinet Fortigate 3950B, Juniper SRX 5800, Palo Alto Networks PA-4020, Sonicwall E8500 en Check Point Power-1. Alleen die laatste wist afdoende bescherming te bieden voor deze veelvoorkomende aanval.

Dieper in het onderzoek blijkt overigens dat de bescherming tegen deze aanval vaak wel met de hand is aan te zetten. Fortinet, Juniper en Palo Alto Networks geven aan binnenkort met een update te komen die gebruikers standaard tegen deze aanval beschermt. NSS Labs heeft het onderzoek naar eigen zeggen zes maanden onder de pet gehouden. Die periode werd gebruikt om de firewallmakers te adviseren.