Rapporto NSS su TCP Split Handshake

Conosci NSS Labs? Sei a conoscenza di quale produttore di Firewall o device per la sicurezza sia riuscito a risolvere le vulnerabilità introdotte dal TCP Split Handshake? NSS Labs è una società americana indipendente di ricerca e sviluppo nel campo delle comunicazioni telematiche e periodicamente propone una serie di test e valutazioni comparative per verificare il grado di competitività dei vari prodotti nel mercato IT. Al contrario di Gartner, che fornisce indicazioni su larga scala per l'intero mondo informatico con forti studi e implicazioni economiche, NSS Labs è focalizzata e specializzata nel settore tecnico operativo delle infrastrutture ICT.

Nel mese di Maggio 2011 è stato presentato l'ultimo rapporto NSS che mette a confronto i maggiori produttori di dispositivi integrati Firewall per la Network Security. Lo scopo è quello di valutare il comportamento e le caratteristiche di sicurezza dei dispositivi attraverso una serie di verifiche  standardizzate e ben definite. È stata ricreata una configurazione topologica classica a tre interfacce (WAN, LAN, DMZ) e verificato come e se il dispositivo, in una configurazione classica port based, fosse in grado di difendere se stesso e la rete interna da attacchi conosciuti come ad esempio Syn Flood, IP Spoofing e TCP Split Handshake, oltre a numerose prove di stabilità e affidabilità con volumi elevati di traffico.

Hanno partecipato volontariamente i maggiori produttori mondiali di sicurezza con i loro dispositivi di fascia alta pensati per il mondo enterprise come Checkpoint, Cisco ASA 5585, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020, Sonicwall E8500 e i risultati delle prove sono stati riportati in un report sintetico per gli addetti ai lavori.

Il rapporto indica come, ad oggi, i prodotti di sicurezza industriali presenti in commercio abbiamo comportamenti molti differenti tra di loro e alcuni hanno serie difficoltà a raggiungere gli standard richiesti in fatto di stabilità e resistenza. Un attaccante può infatti lanciare una sequenza di informazioni speciali limitando fortemente il comportamento del firewall fino al blocco totale, cosa assolutamente inaccettabile per il mondo enterpirse.

Un discorso a parte deve essere fatto per il TCP Split Handshake: solo due dispositivi hanno superato rapidamente la prova, tutti gli altri ne sono risultati affetti, mettendo così in grave imbarazzo molti dei dispositivi più importanti. Pur essendo il TCP Split Handshake conosciuto da circa un anno, a tutt'oggi non sono stati presi seri provvedimenti.

Tra i partecipanti una menzione speciale è stata riservata al dispositivo PA-4020 e in generale a tutti i prodotti di Palo Alto Networks. Hanno superato egregiamente tutti i test previsti, e sono risultati i migliori nel rapporto prezzo/MB controllato nella fascia port-based firewall. Considerando che la vera vocazione dei dispositivi Palo Alto Networks è quella di Next Generation Firewall, con caratteristiche uniche nella visibilità e nel controllo delle applicazioni, possiamo affermare che Palo Alto Networks è uscita vincitrice dalla sfida.

Conclusioni

Il rapporto preparato da NSS Labs, in congiunzione con il lavoro di Tod Beardsley e Jin Qian, fornisce molteplici e interessanti indicazioni a tutti gli operatori del mondo sicurezza.

I protocolli, anche se ben conosciuti e studiati sia all'interno dei centri di ricerca universitari che industriali, riservano costantemente delle sorprese e nuove funzionalità operative, spesso poco ortodosse ma altamente significative che possono tramutarsi in attacchi zero-day. Solamente studio, analisi e aggiornamenti continui da parte dei produttori permettono di rilevare e correggere comportamenti potenzialmente dannosi.
 
Sono stati selezionati strumenti di controllo e filtraggio come Firewall e IPS di produttori leader a livello mondiale che hanno partecipato con i loro prodotti durante la fase di test.  Buona parte di questi dispositivi si è dimostrato inefficacie a contrastare la specifica vulnerabilità TCP Split Handshake e, cosa ancora più allarmante, alcuni di loro non sono in grado tutt'oggi di porre rimedio al problema o introducono delle limitazioni nell'utilizzo dei dispositivi per contrastare il problema, inaccettabili per il mondo industriale ed enterprise.

Il momento della scelta del prodotto e del vendor per la creazione di un'infrastruttura di sicurezza integrata si rileva di fondamentale importanza per l'impresa che deve essere in grado di selezionare quei produttori che con il tempo dimostrano di fornire non solo funzionalità e performance ma anche update regolari e risoluzione delle problematiche in tempi brevi. Lo stesso approccio deve essere esteso verso la scelta del consulente o del system integrator evitando quelli che non prevedono manutenzioni programmate e continuative nel tempo, sia ordinarie che straordinarie, per un aggiornamento costante degli apparati dedicati alla sicurezza. Infatti un dispositivo di sicurezza (Firewall, IPS, DLP, ecc...) non può considerarsi tale se non subisce regolarmente monitoraggio, controllo e aggiornamento. Diffidate di quei dispositivi installati e mai revisionati, anche se vi sembrano funzionare, poichè di sicuro non fanno sicurezza, in primis i computer con varie distribuzioni Linux tanto in voga una decina di anni fa e tutt'oggi ancora massicciamente presenti in molte aziende italiane.

Purtroppo ancora oggi vari vendor si pongono nei confronti di questo genere di verifiche periodiche minimizzando eventuali bug o deficienze e mettendo a tacere, a mezzo comunicati stampa, le indicazioni negative ricevute. Visto l'alto costo di questi dispositivi e la fiducia intrinseca che il cliente pone su di essi ci si dovrebbe aspettare che indicazioni di questo genere fossero non solo ben accettate ma anche richieste. Il rapporto finale di NSS Labs indica Paolo Alto Networks come Reccomended perché, tra le tante innegabili qualità del prodotto, pur avendo fallito la prima prova sul TCP Split Handshake ha immediatamente posto rimedio alla vulnerabilità, insieme ai tecnici NSS, risultando immune alla problematica dopo pochi giorni. Tale comportamento è esattamente quello che si aspetterebbe da un giovane produttore di apparati di sicurezza, capacità di analisi, umiltà operativa e velocità nella risoluzione di un particolare problema.