Coraz więcej pakietów firewall nie przechodzi pomyślnie testów bezpieczeństwa.

Coraz więcej produktów typu firewall nie spełnia stawianych im wymagań - uważa International Computer Security Association (ICSA), organizacja specjalizująca się m.in. w testowaniu rozwiązań, zwiększających bezpieczeństwo sieci korporacyjnych. Na swoim serwerze WWW ICSA udostępniła rezultaty kolejnej edycji testów pakietów firewall.

"Najmniej wytrzymałe na rygorystyczne testy i symulacje ataków komputerowych włamywaczy są "zapory ogniowe" pracujące na platformie Windows NT" - mówi Pete Cafarcio, nadzorujący przebieg testów w ICSA. Według P. Carfarcio, przyczyna jest jasna - rynek pakietów firewall, szczególnie dla Windows NT, to obecnie żyła złota. Producenci spieszą się z wprowadzaniem produktów na rynek, co odbija się na ich jakości. Tylko 38% produktów przechodzi pomyślnie wszystkie testy bez konieczności instalowania dodatkowych poprawek do zawartych w nich błędów, zaś 6% produktów bez względu na liczbę instalowanych poprawek w ogóle nie kończy testów.

Symulacja włamania

ICSA testuje zapory ogniowe w taki sposób, w jaki próbuje przez nie przedostać się włamywacz. Symuluje więc wszystkie znane metody ataku na porty: FTP, SMTP, HTTP, telnet, DNS, SSL i S-HTTP. Ponadto ICSA bada także, w jaki sposób pakiety radzą sobie z atakami typu denial-of-service ,polegającymi na tym, że dany port "zalewany" jest dużą liczbą pakietów w bardzo krótkich odstępach czasu. Powoduje to, że atakowany serwer nie jest w stanie poradzić sobie z tak dużą liczbą pakietów i jeśli nie jest odpowiednio przygotowany na ten typ ataku, to jego praca zostaje przerwana.

Popularnym celem ataków denial-of-service są serwery Windows NT. Dlatego też administratorzy sieci chętnie oddzielają się od Internetu zabezpieczeniami firewall. Pozytywnie testy na platformie Windows NT przeszły pakiety, takich firm jak Cisco, Check Point Software, Raptor Systems i Secure Computing. Na liście "zapór ogniowych" dopuszczonych do stosowania, opracowanej przez ICSA, brakuje jednak produktu Microsoft Proxy Server 2.0 - mimo że firma Microsoft jest członkiem ICSA.

Według P. Cafarcio Windows NT jest bardzo "niewdzięczną" platformą dla serwerów firewall i trudniej jest opracować dobrą zaporę ogniową dla tego systemu niż dla Unixa. "Problem polega na tym, że standardowo zainstalowane NT jest bardziej otwarte niż Unix i dobry firewall musi najpierw zablokować wszelkie «dziury» w systemie - często ograniczając jego funkcjonalność" - mówi P. Cafarcio.

ICSA zdecydowała się też dołączyć do listy badanych "zapór" także system operacyjny Cisco IOS, pracujący na routerach firmy Cisco. Jego zmodyfikowana wersja umożliwia bowiem realizację sprzętowej zapory ogniowej, która pozwala administratorowi ustalać w dowolny sposób zasady przesyłania danych, szyfrowania i autoryzacji. Oprogramowanie umożliwia także przeprowadzanie bezpośredniej autoryzacji routerów, biorących udział w transmisji danych (funkcja ta dostępna jest dla routerów linii 1600 i 2500).

Jedynym mankamentem sprzętowego firewalla Cisco jest brak graficznej, prostej w obsłudze konsoli zarządzania. Firma zamierza jednak zintegrować taki interfejs w ramach narzędzia Config Maker. Ma to nastąpić jeszcze w pierwszej połowie br.