Skip to main content

Anbieter Patch-Firewalls nach umstrittenen NSS Labs Test

Vier der fünf Anbieter, die letzten Monat von der Testfirma NSS Labs getestet wurden, um einen Sicherheitsfehler in ihren High-End-Firewalls zu erleiden, haben seitdem ihre Produkte gepatcht, darunter zwei Unternehmen, die das bestritten

Eine von NSS Labs veröffentlichte Erklärung bestätigte, dass Fortinet, SonicWALL und Palo Alto Networks jetzt ihre Produkte aktualisiert hatten, um das am 12. April offenbarte TCP-Split-Handshake-Problem zu beheben, während Juniper Networks dies durch Änderung des Produkts behoben hatte

Ein Unternehmen, Cisco, hat noch keinen Patch veröffentlicht, aber eine Umgehung mit Zugriffssteuerungslisten empfohlen, die das Problem in einigen, aber nicht allen Fällen vermieden haben.

[Lesen Sie weiter: So entfernen Sie Malwa Von Ihrem Windows-PC]

In den Tagen nach der Veröffentlichung erwiesen sich die NSS Labs-Tests als kontrovers, wobei Fortinet die Bedeutung des Fehlers mit der Behauptung in Abrede stellte, das Problem könne durch das Einschalten der Firma verhindert werden Präventionssysteme (IPS) und Antivirus-Sicherheitsmodule.

"NSS Labs gibt fälschlicherweise an, dass Fortinet seinen Kunden derzeit keinen Schutz gegen einen TCP-Split-Handshake bietet", sagte Patrick Bedwell, Vice President für Produktmarketing bei

"Wir sind überzeugt, dass integrierter Schutz der beste Ansatz ist, um dieses Problem zu beheben, da Kunden mit IPS, die mit ihrer Firewall arbeiten, besser gegen eine größere Bandbreite von Bedrohungen geschützt sind", sagte Bedwell.

Die Tests haben SonicWALL ebenfalls verärgert. "Dieser Anspruch [die TCP-Split-Handshake-Angriffsanfälligkeit] ist nicht korrekt, da SonicOS seit SonicOS 3.0 im Jahr 2004 den referenzierten TCP-Split-Handshake-Spoof-Schutz hatte. Leider entschied sich NSS dafür, es nicht für ihre Tests zu aktivieren, obwohl wir darauf bestanden haben für richtige Ergebnisse ", sagte PR-Direktor Jock Breitwieser.

Obwohl keiner der beiden Unternehmen die Wahrscheinlichkeit eines Patches für notwendig hielt, deutet die rasche Veröffentlichung auf eine ruhigere Einschätzung der NSS-Tests hin, nachdem die Hitze des Augenblicks vorüber ist .

"Nur diese Art von rigorosen, nicht gesponserten Tests konnte diese Art von kritischen Problemen aufdecken. Die Produktqualität ist ein großes Problem in der Sicherheitsindustrie", sagte Rick Moy, Leiter von NSS Labs. "Dass die meisten Anbieter das Problem letztlich beheben, bestätigt unsere Arbeit trotz der anfänglichen Marketing-Reaktion eines Anbieters."

Die Affäre könnte sich für die Security-Appliance-Industrie als wichtiger Moment herausstellen. In der Vergangenheit gab es Kritik darüber, dass Anbieter sich zu sehr auf Produkttests verlassen haben, die nicht unabhängig genug waren, um den Unternehmen, die die Produkte kaufen, wichtige Sicherheitsprobleme aufzuzeigen. Die Firewall-Tests der NSS Labs wurden von namhaften Finanzdienstleistern und nicht von Anbietern gesponsert.

Die fünf vom TCP-Split-Handshake-Fehler betroffenen Firewalls waren Fortinet Fortigate 3950, SonicWall NSA E8500, Palo Alto Networks PA-4020, Juniper SRX5800 und Cisco ASA 5585-40. Nur ein Produkt, Check Point's Power-1 11065, litt nicht unter dem Fehler. Patching-Ratschläge können über das Web-Support-System jedes Anbieters gefunden werden, obwohl NSS Labs Unternehmen empfohlen hat, die Patches zuerst sorgfältig zu testen.

"Die Aktivierung dieses Schutzes kann sich negativ auf die Leistung auswirken und / oder Anwendungen brechen, die TCP nicht ordnungsgemäß verwenden , sagte NSS Labs in seiner Aussage.