image

'Leveranciers liegen over bandbreedte firewalls'

woensdag 20 februari 2013, 12:32 door Redactie, 12 reacties

Leveranciers van firewalls blijken de bandbreedte die hun oplossing aankan in alle gevallen schromelijk te overdrijven. Onderzoeksbureau NSS Labs analyseerde 12 zakelijke firewall-oplossingen en ontdekte dat de producten gemiddeld 40% minder verkeer aan konden dan de leveranciers beweren. De best presterende firewall zat 15% onder de vermelde 'throughput'.

De slechtst presterende firewall bleek slechts 22% van de geadverteerde hoeveelheid verkeer aan te kunnen. "Kopers moeten dit overwegen bij de aanschaf van een firewall", aldus NSS Labs, dat de producten van Barracuda, Check Point, Cyberoam, Dell SonicWALL, Fortinet, Juniper, NETASQ, NETGEAR, Palo Alto Networks, Sophos, Stonesoft en WatchGuard testte.

Resultaten
Slechts vier van de twaalf leveranciers scoorden 100% wat betreft beheermogelijkheden. Verder bleek dat sommige firewalls niet met TCP Split Handshake en SYN FLoods konden omgaan. Twee van de twaalf leveranciers faalden tijdens de de TCP split handshake test.

Hierdoor zou een remote aanvaller de firewall-regels en beleid kunnen omzeilen door zich als een interne, 'vertrouwde' verbinding voor te doen. Eén firewall faalde ook de SYN flood bescherming tests. Dit betekent dat de oplossing kwetsbaar voor Denial of Service-aanvallen is.

"Door continue aanvallen door groepen als LulzSec en Anonymous, alsmede het groeiende gebruik van eenvoudig te downloaden exploit-tools, beleven standaard aanvallen zoals Denial of Service een opleving en is het belangrijk dat firewalls deze dreigingen blokkeren", aldus NSS Labs. De gedetailleerde resultaten zijn in dit rapport te vinden, dat 3.500 dollar kost.

Reacties (12)
20-02-2013, 12:48 door Anoniem
Wat ik interessant zou vinden is om te weten of ze bepaalde software gebruiken die ook publiekelijke beschikbaar is om bijvoorbeeld me eigen firewall te testen.
20-02-2013, 13:09 door spatieman
uh, dus om dat onderzoek te lezen, moet iemand dus 3.500$ betalen, terwijl hier al de basics worden geschreven over de fails..
ik hou het wel op mijn homemade brik....
20-02-2013, 15:29 door Anoniem
Waarschijnlijk worden veel van die firewalls ontworpen en getest met een bepaald aantal rules, aan de hand daarvan wordt dan de datasheet gemaakt, en als ze in het veld staan worden er steeds meer rules in gepompt voor steeds meer bedreigingen.
De performance wordt dan na een tijdje niet meer gehaald, maar niemand past de datasheet aan.
20-02-2013, 16:05 door Anoniem
Geloof me, de tests van NSS zijn echt goed en zagen de firewall daadwerkelijk door midden. NSS heeft de mogelijkheden om 10Gbps aan verkeer te genereren om daadwerkelijk de throughput van een firewall aan de tand te voelen.

Als je een beetje op internet gaat zoeken, dan vind je misschien nog een oude "gratis" variant van een rapportage. Ik snap alleen het lijstje niet helemaal. Ik zou bijvoorbeeld ook een McAfee firewall verwachten.

Firewalls uit deze test zijn natuurlijk niet te vergelijken met de 'huis-tuin-en-keukenoplossingen', waar op zich niks mis mee is, mits het ook voor die doeleinden gebruikt wordt.
20-02-2013, 16:23 door Preddie
Okay ... wat heb ik nu precies gelezen ?

Ik weet dat gemiddeld 40% minder gepresenteerd wordt en dat zelfs de beste firewall zijn verwachtingen niet waar maakt (15% onder de verwachting). Als ik me zelf dan vraag wat kan ik met deze informatie uit dit bericht, dan zeg ik ; helemaal niks, nakkes, nada.... Ik vraag me dan ook af waarom hier uberhaupt een bericht over is gemaakt en of er mensen zijn die wel iets concreets kunnen met deze info.

Want eerlijk is eerlijk, ik denk dat niemand hier 3500 dollar gaat betalen voor dit rapport...
20-02-2013, 18:45 door [Account Verwijderd]
[Verwijderd]
20-02-2013, 21:47 door Anoniem

Bij het lezen van de lijst van nu, komen we een paar bekenden tegen zoals in 2011.
Misschien weer dezelfde zondaars?

je hebt je het rapport maar aan te schaffen...
21-02-2013, 10:24 door Preddie
Het zou me overigens niks verbazen als Watchguard onder aan het lijstje is beland. IK heb zelf ooit wat small business apparatuur gehad van Watchguard, deze beloofd een Throughput van 90Mbps, in de praktijk kwam ik echter niet verder dan 30Mbps en toen had ik nog niet aan plugins of filters ingeschakeld .....
21-02-2013, 13:00 door [Account Verwijderd]
[Verwijderd]
21-02-2013, 13:18 door HelemaalNIckS
Over Fortinet zijn ze erg positief:

Fortinet 800c FortiOS v4.3.8 build632 was able to withstand our stability test and remain functional throughout the test. The Fortinet 800c is a robust and stable firewall.
25-02-2013, 20:10 door WeSecure
[admin] graag on-topic reageren [/admin]
27-02-2013, 10:52 door Anoniem
Tsja, de gespecificeerde throughput is ook afhankelijk van de meetmethode. De maximale throughput is vaak op basis van RFC2544; ofwel 1500-byte pakketten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.