Nieuws
image

"Gapend gat in populaire firewalls"

woensdag 13 april 2011, 13:34 door Redactie, 19 reacties

Er zit een beveiligingslek in de firewalls die veel bedrijven gebruiken, waardoor aanvallers toegang tot het achterliggende netwerk kunnen krijgen. Dat beweert onderzoeksbureau NSS Labs aan de hand van een onafhankelijk test. Via de "TCP Split Handshake spoof", ook bekend als Sneak ACK-aanval, kan een aanvaller de firewall laten geloven dat de opgezette IP-verbinding vanachter de firewall plaatsvindt. Zodoende kan een aanvaller de firewall omzeilen, aldus NSS Labs.

"Als de firewall denkt dat je binnen zit, dan geldt het interne beveiligingsbeleid voor je, en kun je een scan uitvoeren om te zien waar de machines zijn", zegt NSS Labs president Rick Moy. Het probleem zou al jaren bekend zijn. "Het is een eenvoudige manier voor een aanvaller om onderdeel van het netwerk te worden." Aangezien de aanval tijdens het opzetten van de 'handshake' plaatsvindt, zijn er geen logs of waarschuwingen.

Misleid
De Check Point Power-1 11065, Cisco ASA 5585, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020 en Sonicwall E8500 firewalls werden onderzocht. Naast de Handshake spoof, hadden drie van de zes firewalls problemen om tijdens de stabiliteitstest te blijven functioneren. Daarbij haalt NSS Labs ook uit naar de concurrentie, aangezien de geteste firewalls zowel door ICSA Labs als Common Criteria waren gecertificeerd.

"IT-organisaties wereldwijd hebben op tests van derde vertrouwd en zijn misleid", zegt CTO Vik Phatak. Volgens hem zijn er meer tests van firewalls nodig om te garanderen dat ze de benodigde veiligheid en betrouwbaarheid bieden.

Sommige van de fabrikanten zijn inmiddels bezig om de problemen op te lossen. In het geval van SonicWall is er geen bescherming tegen de Handshake spoof. Bedrijven die deze oplossing gebruiken krijgen dan ook het advies om hun firewallconfiguratie zo snel als mogelijk te herzien.

Reacties (19)
13-04-2011, 13:36 door ej__
Lang leve pf.
13-04-2011, 13:52 door Preddie
Door ej__: Lang leve pf.

is die ook getest dan, ik mis een linkje naar het onderzoeksrapport
13-04-2011, 13:56 door [Account Verwijderd]
Door ej__: Lang leve pf.

Ja want die wordt echt serieus genomen in het bedrijfsleven oO.

Voor diegenen die echt iets van security kennen, het gaat om deze manier van misleiden (split handshake): http://nmap.org/misc/split-handshake.pdf

Enkel Check Point weerstaat de aanval, al de rest is vulnerable en laat connecties gewoon door.
13-04-2011, 14:23 door Anoniem
Ander aardig element van het rapport is dat veel Firewall leveranciers de opgegeven performance specificaties niet halen. Alleen Palo Alto haalt (260%) de opgegeven snelheid. CheckPoint haalt slechts 30% van de opgegeven specificatie.
13-04-2011, 14:59 door spatieman
/sarcasme.
ehm, gapend lek?
als een firewall 100% dicht is, komt er helemaal geen verkeer meer door...

IIG.
het gaat hier om hardware brikken.
of PF hier ook gevoelig voor is, is een goede vraag.
13-04-2011, 15:13 door [Account Verwijderd]
[Verwijderd]
13-04-2011, 15:21 door Anoniem
NSS labs, laat maar..
13-04-2011, 15:40 door Anoniem
By default, Juniper does not enable protection against the TCP Split Handshake attack. Therefore,
NSS Labs recommends all Juniper customers examine their firewall configuration at the earliest
opportunity and if “strick-syn-check” is not enabled, run the following command to enable protection:
"set security flow tcp-session strict-syn-check"
13-04-2011, 16:21 door ej__
Door spatieman: /sarcasme.
ehm, gapend lek?
als een firewall 100% dicht is, komt er helemaal geen verkeer meer door...

IIG.
het gaat hier om hardware brikken.
of PF hier ook gevoelig voor is, is een goede vraag.

Nee, pf is hier niet gevoelig voor. De zogenaamde(!) stateful firewalls zijn helemaal niet zo stateful. Echte volledige state bewaking zoals pf dat heeft houdt dat soort aanvallen absoluut tegen.

En @deej: ja, die wordt serieus genomen in het bedrijfsleven. Zelfs bij grote isp's. Niet op ieder apparaatje staat wat er in zit... :D

En @Peter V: net niet. Je kunt niet alles via IDS en/of firewall blokkeren, zeker niet als je een brakke firewall hebt. En IDS is helemaal wishful thinking. Denk je dat al die lekken die in de publiciteit komen van netwerken zonder firewalls en IDS'en komen?
13-04-2011, 17:10 door RichieB
Kan iemand uitleggen hoe je met een TCP Split Handshake een firewall kan bypassen? De initiele SYN komt namelijk van de client. De server doet de TCP Split Handshake. Dus ben je een client op het internet dan loopt je eerste SYN gewoon tegen de firewall rules aan. Ben je een rogue server op internet en weet je een client naar je te laten connecten dan heb je gewoon een (toegestane) verbinding tussen een interne client en jouw server. Hoezo bypass? Of mis ik iets?
13-04-2011, 17:13 door Anoniem
Door ej__:
En @Peter V: net niet. Je kunt niet alles via IDS en/of firewall blokkeren, zeker niet als je een brakke firewall hebt. En IDS is helemaal wishful thinking. Denk je dat al die lekken die in de publiciteit komen van netwerken zonder firewalls en IDS'en komen?

Ha die Peet !

Petje af; je blijft consequent proberen, de tenenkromredeneerende 'jeugd', het licht te laten zien.
In dit geval lijkt men niet begrijpen dat ... een vuurmuur alleen, simpelweg (nooit) genoeg is, zelfs geen echt hele "brakke" .... ;P

@ej ... PS: Denkt U dat al de lekken, überhaupt in de publiciteit komen ?!
Als u deze meneer durft/kunt begrijpen; http://dl.media04.kpnstreaming.nl/kpn/govcert.nl/Richard%20Thieme.mp4 , praten we verder. Hoewel u, mij een moedig mens, schijnt te zijn en natuurlijk de ERVARING bij grote ISP's kunt/wilt toelichten, wees gerust een klokkenluider, u bent in vertrouwde handen. ;)
13-04-2011, 23:09 door Anoniem
Door RichieB: Kan iemand uitleggen hoe je met een TCP Split Handshake een firewall kan bypassen? De initiele SYN komt namelijk van de client. De server doet de TCP Split Handshake. Dus ben je een client op het internet dan loopt je eerste SYN gewoon tegen de firewall rules aan. Ben je een rogue server op internet en weet je een client naar je te laten connecten dan heb je gewoon een (toegestane) verbinding tussen een interne client en jouw server. Hoezo bypass? Of mis ik iets?
Qua accessrules heeft dit volgens mij inderdaad weinig impact omdat de verbinding in eerste aanleg toch al mocht (immers, client stuurt SYN en die wordt beantwoord). Volgens mij kun je dus vanuit "plain old ACL"-opzicht niet meer toegang krijgen dan wat toch al mocht. Alleen is de sessie voor de firewall verkeerd om opgezet. Ik zie hier (buiten dat het bijzonder smerig is) dus eigenlijk niet zulke ernstige consequenties. (Maar ik kan hier mooi de TOD als excuus gebruiken voor eventuele omissies in mijn denkproces. ;-)).

Wat volgens mij wel een serieus probleem kan vormen zijn de higher-level regels die in de genoemde firewalls ook vaak gebruikt worden (daar zijn ze immers voor) voor wat betreft inhoudelijke inspectie van uitgaand verkeer. Als die er niet zijn op outbound traffic dan heb je wel een probleem, want dan ontsnapt het verkeer aan inspectie die het wel zou moeten ondergaan. En da's natuurlijk wel een beetje verdrietig.
14-04-2011, 03:24 door ej__
Door ej__:
Door spatieman: /sarcasme.
ehm, gapend lek?
als een firewall 100% dicht is, komt er helemaal geen verkeer meer door...

IIG.
het gaat hier om hardware brikken.
of PF hier ook gevoelig voor is, is een goede vraag.

Nee, pf is hier niet gevoelig voor. De zogenaamde(!) stateful firewalls zijn helemaal niet zo stateful. Echte volledige state bewaking zoals pf dat heeft houdt dat soort aanvallen absoluut tegen.

En @deej: ja, die wordt serieus genomen in het bedrijfsleven. Zelfs bij grote isp's. Niet op ieder apparaatje staat wat er in zit... :D

Edit: de geteste firewalls worden juist niet serieus genomen in het bedrijfsleven. Die staan er omdat je dan zo mooi kunt zeggen: "we hebben een firewall, dus uw data is veilig bij ons". En kan de auditor een vinkje bij "Firewall" plaatsen. Niet omdat die dingen zo ontzettend goed zijn...

En @Peter V: net niet. Je kunt niet alles via IDS en/of firewall blokkeren, zeker niet als je een brakke firewall hebt. En IDS is helemaal wishful thinking. Denk je dat al die lekken die in de publiciteit komen van netwerken zonder firewalls en IDS'en komen?[/quote]
14-04-2011, 08:28 door WhizzMan
Door RichieB: Kan iemand uitleggen hoe je met een TCP Split Handshake een firewall kan bypassen? De initiele SYN komt namelijk van de client. De server doet de TCP Split Handshake. Dus ben je een client op het internet dan loopt je eerste SYN gewoon tegen de firewall rules aan. Ben je een rogue server op internet en weet je een client naar je te laten connecten dan heb je gewoon een (toegestane) verbinding tussen een interne client en jouw server. Hoezo bypass? Of mis ik iets?

Als je firewall alleen maar syn/ack tegenhoudt, gaat het met een split handshake niets tegenhouden en kan je gewoon een connect opbouwen. Het is veel eenvoudiger om alleen maar syn/ack tegen te houden dan elk pakketje te inspecteren, Vandaar dat veel firewallvendors het op die manier oplossen.
14-04-2011, 10:45 door ej__
Door WhizzMan:
Door RichieB: Kan iemand uitleggen hoe je met een TCP Split Handshake een firewall kan bypassen? De initiele SYN komt namelijk van de client. De server doet de TCP Split Handshake. Dus ben je een client op het internet dan loopt je eerste SYN gewoon tegen de firewall rules aan. Ben je een rogue server op internet en weet je een client naar je te laten connecten dan heb je gewoon een (toegestane) verbinding tussen een interne client en jouw server. Hoezo bypass? Of mis ik iets?

Als je firewall alleen maar syn/ack tegenhoudt, gaat het met een split handshake niets tegenhouden en kan je gewoon een connect opbouwen. Het is veel eenvoudiger om alleen maar syn/ack tegen te houden dan elk pakketje te inspecteren, Vandaar dat veel firewallvendors het op die manier oplossen.

Exact. Vandaar dat zeker cisco niet voldoet als firewall.
14-04-2011, 11:10 door cjkos
Ik vind dit maar een vreemd verhaal. Als er iemand bij mij aan de deur staat kan hij ook niet 'net' doen alsof hij binnen is.

Hoe kan een firewal een inkomende pakketje data nu zien als een interne afhandeling? Er moet dan toch voorafgaand een (verzoek) pakketje data verzonden zijn?

Of moet ik dit zien als een data pakketje dat bijvoorbeeld verteld dat het bijvoorbeeld van een (nieuwe) printer is?

Overigens, die onderzochte firewals zeggen me (muv Cisco) niets, zijn dat merken of onderdelen van een branded firewall?
14-04-2011, 12:24 door RichieB
Door WhizzMan:
Als je firewall alleen maar syn/ack tegenhoudt, gaat het met een split handshake niets tegenhouden en kan je gewoon een connect opbouwen. Het is veel eenvoudiger om alleen maar syn/ack tegen te houden dan elk pakketje te inspecteren, Vandaar dat veel firewallvendors het op die manier oplossen.

De split handshake splits het SYN/ACK antwoord op een SYN in twee losse SYN en een ACK pakketten. Als er al firewalls zijn die SYN/ACK tegenhouden maar een SYN niet (bizar idee, de SYN is de start van een sessie en zal dus worden tegengehouden door de meeste firewalls) dan nog zie ik het bypass scenario niet. De SYN/ACK is het antwoord op een SYN. Om de SYN/ACK te kunnen splitsen moet je een rogue server hebben. In het client/server scenario kan een rogue server niet zomaar zelf sessies openen. Een client zal eerst een SYN moeten sturen, en dan heb je dus een toegestane verbinding van binnen naar buiten. Dat de firewall die misschien ziet als omgekeerd (van buiten naar binnen dus) lijkt me geen issue: de regels voor buiten naar binnen zijn doorgaans strenger dan andersom.

Klinkt als een hoop FUD allemaal.
14-04-2011, 13:09 door [Account Verwijderd]
[Verwijderd]
14-04-2011, 14:30 door Anoniem
Is it being spoofed ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure