حفره امنیتی در فایروال مشهور جهان
موسسه NSS Labs در گزارشی جدیدی، خبر از وجود یک حفره امنیتی در اغلب فایروال های مشهور جهان داد. سوء استفاده از این حفره امنیتی، این امکان را به افراد نفوذگر می دهند که با فریب فایروال، به عنوان یک نشانی IP تأیید شده وارد شبکه محلی شوند.
اخیراً موسسه NSS Labs اقدام به آزمون شش دستگاه فایروال کرد تا نقاط ضعف و توانایی های آنها را بررسی کند. همه دستگاه ها به غیر از یکی، دارای یک نقطه ضعف در برابر حملات از نوع TCP Split Handshake Attack بودند. در این نوع حمله، یک فرد نفوذگر از راه دور می تواند فایروال را به نحوی فریب دهد که دستگاه تصور کند این ارتباط از طریق یک نشانی IP تأیید شده از پشت فایروال صورت گرفته است.
اگر فایروال تصور کند که شما داخل شبکه هستید، سیاست های امنیتی متفاوتی را اعمال می کند و چون فایروال نشانی IP را به غلط یک نشانی مورد تأیید و اعتماد می داند، بدین ترتیب تقریباً می تواند هر کاری در داخل شبکه انجام دهید.
موسسه NSS Labs موسسه ای شناخته شده برای آزمون و بررسی انواع محصولات IT است. برخی آزمون ها توسط این موسسه بنا به درخواست شرکت های تولید کننده برای تهیه گزارشات مقایسه ای انجام می شود و برخی از آزمون ها نیز بطور مستقل و با هزینه خود موسسه اجرا می شود. آزمون فایروال ها یک آزمون مستقل بوده است.
شش فایروال مورد آزمون عبارت بوده اند از CheckPoint، Cisco، Fortinet، Juniper، Palo Alto و Sonicwall. در این میان، فقط فایروال CheckPoint فاقد حفره امنیتی بوده است.
به گفته مسئولان NSS Labs اغلب شرکت های سازنده فایروال از همکاری و مشارکت در این آزمون خودداری کرده بودند. دستگاه هایی هم که برای آزمون مورد استفاده قرار گرفته بودند، از مشتریان به امانت گرفته شده بودند ولی دستگاه هایی بودند که توسط کارشناسان شرکت تولید کننده نصب، راه اندازی و تنظیم گردیده بودند.
طبیعی است که شرکت های سازنده فایروال، به این گزارش موسسه NSS Labs واکنش نشان دهند. ولی واکنش ها متفاوت بوده است.
شرکت Fortinet اعلام کرد که در صورت فعال بودن امکانات ضد ویروس و نفوذ یاب (IPS) بر روی دستگاه FortiGate، حملهTCP Split Handshake قابل شناسایی و مقابله است. ولی موسسه NSS Labs به دنبال آزمون دستگاه فقط به عنوان یک فایروال (بدون امکانات امنیتی جانبی) بوده و لذا فایروال شرکت Fortinet را آسیب پذیر و مردود دانسته است. در نهایت شرکت Fortinet اعلام کرد که امکان شناسایی این نوع حملات را در آینده نزدیک به نرم افزار اصلی (سیستم عامل) فایروال های FortiGate اضافه خواهد کرد.
شرکت Sonicwall نیز ضمن اعتراض به گزارش NSS Labs اعلام کرد که امکان شناسایی این نوع حملات در فایروال های این شرکت وجود دارد و تنها باید یک گزینه که بطور پیش فرض فعال نیست، فعال گردد. موسسه NSS Labs به فعال نبودن این گزینه بطور پیش فرض ایراد گرفته است. شرکت Sonicwall در نهایت اعلام کرد که در صورت فعال شدن گزینه مورد نظر، تحت شرایط خاص امکان ایجاد برخی اختلالات در شبکه وجود دارد و فعال شدن آن باعث کاهش سرعت عملکرد دستگاه نیز می شود. بنابر این دلایل، فعلاً این گزینه بطور پیش فرض فعال نیست ولی در آینده، اقداماتی جهت فعال سازی خودکار آن و رفع اشکالات احتمالی در هنگام فعال بودن آن، صورت خواهد گرفت.
از بین شرکت های باقیمانده در آزمون، شرکت Juniper پس از مطلع شدن، اصلاحیه ای برای رفع این اشکال ارائه کرده است و شرکت Palo Alto نیز اعلام کرده در حال تهیه راه حلی برای برطرف کردن قطعی و کامل این نقطه ضعف می باشد. شرکت Cisco نیز تاکنون سکوت کرده و عکس العملی به این گزارش NSS Labs نشان نداده است.