При оценке брандмауэров инженеры Тест-центра провели проверку на нескольких уровнях, чтобы выявить уязвимые места в сетевой архитектуре или конфигурации операционной системы и самого брандмауэра. Были предприняты попытки взлома как снаружи, так и изнутри; кроме того, вся сеть испытывалась на предмет получения дополнительной информации о самой сети либо ее устройствах. И наконец, проверялась возможность вторжения до получения отказа в обслуживании, чтобы узнать, можно ли таким образом привести какое-либо из устройств в нерабочее состояние.
Тест-программа
Инструментальный пакет оценки безопасности SAFEsuite фирмы Internet Security Systems позволил провести серии различных тестов; их результаты графически представлены на помещенной здесь диаграмме уязвимости брандмауэров. Серии тестов были организованы таким образом, чтобы определить порог уязвимости, т. е. момент, когда брандмауэр перестает справляться со всеми последующими испытаниями. Цели каждой серии тестов и соответствующие средства оценки описаны ниже.
Лабораторные заметки
- Инженеры старались взломать брандмауэры как снаружи, так и изнутри.
- Некоторые брандмауэры слишком доверяют внутренним пользователям, чтобы считаться полностью надежными.
- Непрерывный мониторинг - единственный способ гарантировать полную защиту.
Взлом платформы: Это серия попыток вторжения извне, позволяющая проверить уязвимость операционной системы, на базе которой работает брандмауэр. Были использованы такие тесты из пакета SAFEsuite, как сканирование служб, данные системы управления сетью, сканирование портов, проверка «баннеров», информация SNMP и средства стыковки с DNS.
Web-вторжение: Это серия атак на «слабые» места сервера Web снаружи. Применялись те же самые средства оценки из SAFEsuite, что и при взломе платформы.
Взлом снаружи: В этой серии тестов проверялось, можно ли извне получить какую-либо дополнительную информацию о самой сети или ее устройствах, например данные по маршрутизации, SNMP или внутреннему интерфейсу.
Взлом изнутри: В этих тестах сеть исследуется изнутри и выявляются уязвимые места в брандмауэре. Использовались такие тесты из пакета SAFEsuite, как сканирование служб и проникновение извне, когда злоумышленник пытается установить соединение с машинами с внешней стороны серверов полномочий или служб.
Отказ в обслуживании с брандмауэра: Это серия атак на брандмауэр до получения отказа в обслуживании. Были применены такие тесты пакета SAFEsuite, как UDP Bomband Flood, Finger Bomb, Ping Bomb, Out Of Band, Teardrop, Inetd, Echo and Chargen, DNS, SYN, Storm, Data Flood, Open/Close and ICMP Redirects.
Отказ в Web-обслуживании: В этом случае предпринимались атаки на сервер Web до получения отказа в обслуживании, чтобы проверить, насколько хорошо защищает его брандмауэр. Использовались те же самые тесты из набора SAFEsuite, что и в предыдущем случае.
Результаты
Лучше всех противостояли попыткам вторжения брандмауэры фирм Check Point, Digital, Raptor и Secure Computing. Из них Check Point и Raptor оказались значительно лучше остальных, продемонстрировав чрезвычайную надежность, что позволило им выдерживать мощные атаки до получения отказа в обслуживании. Эти два брандмауэра сумели противостоять самым новейшим методам вторжения и, как правило, были в числе первых, с готовыми решениями для устранения новых проблем.
У пакетов Digital и Secure Computing были некоторые сложности с DNS и FTP, которые, хотя и не создавали явных лазеек, все же представляли собой некий плацдарм для хакера. Так, служба DNS брандмауэра AltaVista допускает перенос зон и обратный просмотр, что дает возможность хакеру «видеть» в сети больше, чем следует.
Брандмауэр Secure Computing перезаписывает журнал, когда его лимит исчерпан. Поэтому хакер может замести следы, послав достаточное количество информации уже после содеянного. Таким образом он уничтожает свидетельства своего пребывания.
Пакет Internet Dynamics справляется с попытками вызвать отказ в обслуживании со стороны брандмауэра, но не в силах противостоять таковым на сервере Web. Обычных атак такого рода оказалось достаточно, чтобы «сломать» систему, а конфигурация по умолчанию допускает сквозное прохождение FTP- и HTTP-трафиков.
Решенный больше как сервер полномочий, чем как брандмауэр, пакет фирмы Computer Software Manufaktur (CSM) не обеспечил достаточной защиты и изоляции, и вообще весьма мало помогал администратору в том, чтобы обезопасить сеть.
Брандмауэр Proxy Server корпорации Microsoft продемонстрировал многое, но не справился с попытками блокировать обслуживание как на самом брандмауэре, так и на сервере Web. Атаки до получения отказа в обслуживании были успешными главным образом благодаря тому, что этот брандмауэр не способен справиться с «лавиной» брошенных на него данных с помощью стандартных методов вторжения.
Пакет Guardian позволил инженерам и приглашенному реселлеру узнать определенную информацию, которую не следует разглашать, в частности данные о дополнительных службах, помимо тех, что разрешены брандмауэром. Защита, обеспечиваемая этим пакетом изнутри, была минимальной; его доверие внутренним пользователям слишком уж велико.
Брандмауэр фирмы Network-1 сумел не допустить взлома платформы, однако, когда инженеры применили технику особого «тайного» сканирования брандмауэра, им стали известны как внутренние, так и внешние службы.
Тот факт, что брандмауэр не справился с попыткой взлома платформы, означает, что поставщик не сделал ничего, чтобы укрепить, т. е. обезопасить операционную систему. Тест-центр считает это серьезным упущением.
Но что еще хуже, компания CSM - единственная, чей пакет не прошел этот тест, - не предлагает практически никакого «руководства» процессом инсталляции, да и документация почти не содержит советов о том, как укрепить ОС.
Заключение
Ни один из тестированных брандмауэров не сумел противостоять атаке до получения отказа в обслуживании. Вот почему непрерывный мониторинг остается крайне важным элементом обеспечения безопасности.
Методика тестирования
Инженеры Тест-центра CRN оценивали представленные брандмауэры Web по удобству инсталляциии, использования, функциональным возможностям, технологии и масштабируемости.
Целостность средств защиты оценивалась с помощью инструментального пакета SAFEsuite фирмы Internet Security Systems, который позволяет проверить корпоративную сеть, предпринимая атаки на серверы Web, брандмауэры и интрасеть. Пробную версию этой программы можно загрузить с узла www.iss.net.
Анализируя процедуру инсталляции, инженеры определяли, насколько легко произвести установку пакета, каковы основные требования и уровень технических навыков, необходимых для успешной его инсталляции. При этом учитывалось и качество документации.
Об удобстве использования специалисты Тест-центра составили мнение, исходя из усилий, необходимых для поставки базового решения, требуемого временем обслуживания, качества интерфейса и общей логичности системы.
При оценке функциональных возможностей принимались во внимание полнота решения и богатство предложенного набора функций.
Кроме того, рассматривалась способность к интеграции с другими средствами, такими, как электронная почта, базы данных и системы аутентификации.
Технология изучалась по полноте решения, в том числе по укреплению операционной системы и по тому, насколько хорошо оно проводит реселлера через весь процесс обнаружения вторжений.
Оценка масштабируемости давалась прежде всего с учетом возможности наращивания предложенных решений. Принимались также в расчет удобство управления несколькими брандмауэрами и возможности дистанционного управления. Оценивался также уровень резервирования и совместимость с различными операционными системами.
В качестве платформы при тестировании брандмауэров Web была выбрана система Microsoft Windows NT 4.0 (сборка 1381) с пакетом Service Pack 3.
Аппаратной основой брандмауэров служила система ProLiant 5000 фирмы Compaq на базе 200-МГц Pentium с ОЗУ емкостью 256 Мбайт. Для хранения данных применялась 12,8-Гбайт матрица SCSI-дисков уровня RAID 5, работающая под управлением PCI-контроллера 2/P Smart Array фирмы Compaq.
В брандмауэрах были установлены две сетевые интерфейсные платы: адаптер Netelligent 10/100BaseT фирмы Compaq на частном сегменте и плата 10/100BaseTX от Digital на общедоступной стороне. Сетевые интерфейсы брандмауэров были подключены к независимой сети 10BaseT.
Чтобы исключить влияние внешних факторов, брандмауэры испытывались в условиях лабораторной закрытой сети без подключения к Интернету, а также другим сетевым серверам и службам.
Для осуществления всех попыток вторжения использовалась одна рабочая станция во внешней сети и одна во внутренней.
Единственным дополнительным устройством в сети помимо системы с брандмауэром был сервер Web, установленный позади брандмауэра. В ходе тестирования, чтобы обнаружить уязвимость брандмауэра, сервера Web, сетевой и персональной операционных систем, предпринимались попытки вторжения как изнутри, так и снаружи.
Вся сеть и связанные с ней устройства проверялись на предмет получения дополнительной сетевой информации или данных по устройствам.
И наконец, был предпринят ряд попыток вторжения до получения отказа в обслуживании, чтобы сделать вывод о надежности защиты на отдельных устройствах в сети.