Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Firewalls vallen door de mand in testen van NSS Labs

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 15 april 2011 08:05 uur

Een aantal populaire, professioneel gebruikte firewalls vallen genadeloos door de mand als het gaat om beveiliging. Dit hebben testen van onderzoeksinstituut NSS Labs aangetoond. De meeste firewalls hebben een beveiligingslek waarmee hackers vrij eenvoudig toegang kunnen krijgen tot het netwerk achter de firewall. De onderzoekers publiceerden de resultaten deze week in de Network Firewall Group Test Q2 2011.

Aanvallers gebruiken hiervoor de TCP Split Handshake Spoof die een firewall laat geloven dat een IP-verbinding achter de beveiliging wordt opgezet. De verbinding is dan niet ‘verdacht’. Een dergelijke ‘brug’ wordt tijdens de handshake tussen netwerken opgezet. Eenmaal achter de firewall, houden interne beveiligingsregels de hacker niet tegen.  Deze kan vervolgens een volledige netwerkscan uitvoeren.

NSS Labs testte firewalls van marktleiders Check Point, Cisco, Fortinet, Juniper, Palo Alto en SonicWall. Alle geteste machines worden toegepast in datacenteromgevingen. Het oordeel van NSS Labs is dan ook hard: volgens CTO Vik Phatak zijn de ondernemingen die vertrouwen op firewalltesten door derde partijen ‘misleid’.

SonicWall en Fortinet hebben al gereageerd op de testen: volgens hen heeft NSS Labs de firewalls niet goed geconfigureerd en beschermen hun producten wel degelijk tegen deze hackpogingen.

Michiel Klaver, 15 april 2011 11:53 am

Lees ook eens de officiele reactie van Cisco, vooral hoe NSS hun bewering (niet) heeft kunnen onderbouwen...

http://blogs.cisco.com/security/cisco-investigation-for-tcp-split-handshake-issue-reported-by-nss/

Het hele rapport lijkt op een marketing scam, mogelijk opgezet door de enige producent die ongeschonden door de 'test' heen kwam.

Sjoerd van Groning, 15 april 2011 1:32 pm

This test was sponsored by Checkpoint?

Memnon, 15 april 2011 3:12 pm

Ik kijk toch liever naar wat ICSA test, dat accepteren de meeste toch wel als 'industry standard'

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.