Firewallmakers boos over slechte testresultaten
Gepubliceerd: Donderdag 14 april 2011
Auteur: Uhro van der Pluijm
Twee firewallproducenten die slecht uit een onderzoek van NSS Labs kwamen zijn kwaad over resultaten van die test. Hun producten zouden wel goed beschermen tegen de specifieke aanval die NSS testte.
Firewallproducenten SonicWALL en Fortinet zijn kwaad over de resultaten van een onderzoek van NSS Labs. Dat bureau testte de zes populairste zakelijke firewalls en bestempelde vijf van de zes als 'onveilig' omdat deze niet afdoende konden beschermen tegen een TCP Split Handshake aanval. Daarmee kunnen hackers de firewall foppen door het apparaat te laten denken dat een verbinding van het lokale netwerk komt.
'Al sinds 2004 beschermd'
De conclusie dat hun firewalls geen goede bescherming bieden tegen zo'n aanval is volgens SonicWALL en Fortinet onjuist. Zo stelt PR-directeur Jock Breitwieser van SonicWALL tegen PC World dat haar firewalls al sinds 2004 beschermen tegen zo'n aanval. Die bescherming is standaard echter uitgeschakeld.
SonicWALL beweert dat zij bij NSS Labs benadrukt heeft dat deze optie voor een accuraat resultaat dus eerst ingeschakeld moest worden. NSS koos er echter voor om dat na te laten. Het onderzoeksbureau zou dat gedaan hebben omdat het inschakelen van deze beveiliging een nadelig effect zou hebben op de prestaties van de firewall. Breitweiser ontkent dat dit het geval is.
SonicWALL werkt inmiddels aan een update die de optie standaard inschakelt.
Niet correct geconfigureerd
Fortinet laat via haar vicepresident marketing Patrick Bedwell weten dat er veel misvattingen in het onderzoek van NSS Labs zitten. Bedwell stelt dat de firewall van Fortinet die het onderzoeksbureau gebruikte voor de test niet van het bedrijf zelf afkwam. Het apparaat zou door een klant van dat bedrijf geleverd zijn aan NSS Labs. Daardoor was de firewall volgens de marketingtopman niet correct geconfigureerd voor het onderzoek van NSS.
NSS Labs erkent dat het inderdaad geen door Fortinet geleverde Firewall gebruikte. Dat zou echter komen doordat dat bedrijf niet wilde meewerken aan het onderzoek. Het onderzoeksbureau gebruikte daarom een firewall met standaardinstellingen. Volgens NSS een logische keuze, omdat de meeste gebruikers de firewall zo ingesteld zouden hebben.
Intrusion Prevention System
Ook Fortinet stelt dat haar firewalls kunnen beschermen tegen de TCP Split Handshake aanval. Daarvoor is simpelweg een optie inschakelen echter niet genoeg. Fortinet vertrouwt voor deze bescherming namelijk op intrusion prevention systemen (IPS) en antivirus. Volgens de firewallmaker zijn die technieken in combinatie met een firewall de beste bescherming. Het pakt zo namelijk het hele scala van aanvallen aan.
Desondanks heeft Fortinet inmiddels wel een IPS-handtekening ontwikkeld die specifiek beschermt tegen een TCP Split Handshake aanval, als tijdelijke bescherming. Het bedrijf is momenteel bezig met het ontwikkelen van een firmwareupdate die de aanval ook op een alleenstaande firewall moet tegenhouden.
"De argumenten van Fortines over IPS en antivirus maken duidelijk dat ze de aanval niet begrijpen", zegt een woordvoerder van NSS Labs tegen PC World. "Deze technologieën pakken het TCP-probleem niet aan, punt."
Ook Cisco, Juniper en Palo Alto Networks kwamen niet door de test. Die twee laatste bedrijven werken inmiddels aan een firmwareupdate om deze bescherming ook te bieden.
