Hoe sterk zijn die bodybuilders, die eigenlijk 'firewalls' heten die vaak niet groter zijn dan een schoendoos? Hoe gaan ze te werk? Wanneer gaan ze door hun knieën? En vooral wie wint er in een krachtmeting?
Een krachtmeting… zo kan je dit onderzoek noemen. Het is namelijk een vergelijkende studie van enterprise firewalls, oftewel firewalls voor bedrijven. Twee zeer grote spelers op die markt zijn Juniper en Check Point. Zaak is dus om te zien hoe ze aan die prominente positie op de markt komen en of ze die plaats eigenlijk nog wel verdienen. Bovendien is er een ook een ‘lelijk eendje’ onder de firewalls, Microsoft ISA Server 2006 genaamd. Microsoft staat op zijn zachts gezegd niet bekend om zijn betrouwbare beveiliging dus bestaan er wel wat vooroordelen rond ISA Server 2006. Daarom is het interessant om eens te zien wat er van die voordelen nu eigenlijk waar is.
Je zal dus in de eerste plaats een vergelijking lezen tussen drie bekende firewalls maar je zal je tevens een beeld kunnen vormen van hoe firewalls computernetwerken beveiligen. Tevens krijgt de gevorderde netwerkbeheerder te lezen hoe hij zijn firewall juist moet instellen om zijn netwerk te beschermen tegen hackers.
In de vergelijking wordt vooral gekeken naar de beveiligingsgaten of ‘vulnerabilities’ die de firewall open laat, de gebruiksvriendelijkheid en niet te vergeten de deep inspection, URL filtering en IPS (Intrusion Prevention System) capaciteiten. De IPS-functionaliteit en de vulnerabilities werden onderzocht aan de hand van ‘penetration testing’ waarbij bekende security-software (Nmap, Nessus en Metasploit) werd losgelaten op de firewalls. Wat niet onderzocht werd is hoeveelheid verkeer de firewalls konden verwerken (met behulp van een astronomisch dure traffic generator) en de mogelijkheid om firewalls centraal te beheren met software zoals NSM (voor Juniper) en Voyager-1 (voor Check Point). Dit omdat de benodigde uitrusting niet voorhanden was in de labopstelling.
ISA Server 2006
De eerste firewall in het lijstje is ISA Server 2006. Er bestaan veel vooroordelen over deze software die je op een Microsoft besturingssysteem moet installeren. De vooroordelen voor die besturingssystemen zijn voor een groot deel correct. Dit is gebleken na onderzoek van een systeem met Windows XP en een met Windows Server 2003. In het werkstuk kan je zien hoe er kan gehackt worden op die systemen als er geen beveiligingspatches op geïnstalleerd zijn.
Na een uitgebreide evaluatie is gebleken dat de vooroordelen rond ISA Server volledig onterecht zijn omdat het een nagenoeg perfect rapport heeft op vlak van de beveiliging. Een van de belangrijkste redenen hiervoor is dat ISA Server default het verkeer in alle richtingen potdicht zet. De netwerkbeheerder heeft dan zelf in de hand wat hij open zet en welke beveiligingsrisico’s hij mogelijk daardoor in de hand werkt. Daarom is het ook sterk aan te raden om de ISA Server op een server te plaatsen die speciaal voorzien is om het te draaien zodat er geen onnodige poorten worden opengezet. Ga alstublieft dus geen ISA Server draaien op je domain controller!
De IPS van ISA Server 2006 detecteert als enige firewall in de test de scans van Nmap, Nessus en Metasploit, zonder dat je daarvoor iets moet instellen. Dat is toch wel een groot pluspunt. Het kan echter nog een stuk beter als je het vergelijkt met Check Point die een heel uitgebreide IPS heeft. Wat Check Point en Juniper wel hebben en ISA niet is een manier om malafide software zoals worms en virussen tegen te houden. Er is geen anti-virus functionaliteit dus. Er bestaan extra software pakketten die deze leemte van ISA Server opvullen. Bij de nieuwe versie van ISA Server 2006, Forefront TMG genaamd, zal de IPS enorm uitgebreid zijn, naar het voorbeeld van Check Point. Van die nieuwe versie mag je dus zeker heel veel verwachten!
De Juniper firewalls die behandeld zijn in dit onderzoek draaien telkens op ScreenOS.
De Juniper firewalls staan in enorm veel netwerken verspreid over de wereld. Hun populariteit hebben ze voor een groot deel te danken aan hun prijs. Ze komen uit dit onderzoek als kampioenen op vlak van de prijs.
Ooit hadden ze een van de betere interfaces als je het vergeleek met de andere toenmalige firewalls die vooral met commando’s werkten, zoals de Cisco PIX. De titel van ‘beste interface’ hebben ze tegenwoordig niet meer, verre van.
Het belangrijkste nadeel tegenwoordig van deze firewall is dan ook zijn gebruiksvriendelijkheid. De GUI is zonder meer onoverzichtelijk. Zo kan je bijvoorbeeld NAT op drie verschillende manieren en plaatsen instellen in de GUI, terwijl één plaats in de interface genoeg zou moeten zijn, kijk maar naar Check Point. De GUI is buitengewoon onoverzichtelijk op vlak van IPS (zie 3.7.4). Het feit dat de Juniper firewalls in het verleden in zo veel netwerken werden geïmplementeerd maakt dat er heel veel netwerkbeheerders zijn die deze GUI als het ware vanbuiten kennen. Voor hun is dit nadeel dan ook niet van toepassing.
Een ander nadeel is de default configuratie die een beetje gedateerd is. Zo merk je dat default al het verkeer van het interne netwerk naar buiten mag. Vroeger werd zo’n configuratie vaak gebruikt waarbij de netwerkbeheerder moest opgeven welk verkeer niet naar buiten mocht. In huidige tijden van gesofisticeerde worms e.d. wordt vaak op een andere manier naar netwerkbeveiliging gekeken. Die manier houdt in dat alles default toe gezet wordt en dat de netwerkbeheerder dan de protocollen zelf moet open zetten die wel nodig zijn (HTTP, FTP …). Deze betere implementatie van de default configuratie vind je dan ook terug bij ISA Server en Check Point.
Nog een nadeel aan die default configuratie is dat van trust naar trust alles default wordt doorgelaten. Daardoor kan een worm die binnengeraakt alle systemen op het interne netwerk moeiteloos besmetten. De instelling om dit te wijzigen staat bovendien op een obscuur plekje in de GUI. Ervaren netwerkbeheerders weten deze instelling echter staan zodat ook dit nadeel niet van toepassing is op hen.
Je leest het al, de grote conclusie is dat de Juniper firewall de perfecte (en veruit goedkoopste) oplossing is voor netwerkbeheerders die weten wat ze doen en die ervaring hebben met de firewall. Netwerkbeheerders zonder die ervaring kunnen gelukkig dit werkstuk lezen voor de juiste instellingen!
De koning van alle firewalls is misschien wel de Check Point firewall. Het is echter ook de koning op vlak van prijs die torenhoog boven de rest uitsteekt. Het belangrijkste voordeel is de interface. Zijn overzichtelijkheid is onovertroffen!
De hardware firewalls hebben meestal als voordeel dat ze zelden stuk gaan. De hardware is dus meestal heel degelijk. Nog een voordeel is dat hardware firewall meestal op een besturingssysteem draait dat speciaal voor een firewall ontwikkeld is. Dat komt de veiligheid alleen maar ten goede.
Net zoals ISA Server is Check Point een software firewall. De GUI’s van software firewalls zijn vaak een stuk beter dan de hardware variant. Firewalls die echter de voordelen van de software en hardware firewalls combineren zijn het beste bewapend voor de toekomst. Voorbeelden hiervan zijn Check Point en Astaro Security Gateway. Het zijn software firewalls die je ook kan kopen met een eigen firewall-besturingssysteem en eigen hardware. De combinatie van een degelijke hardware firewall met een mooi ogende GUI vind je ook terug bij Juniper, tenminste als je gebruik maakt van NSM (Network and Security Manager). Dat is de software om een hele reeks van Juniper-firewalls te beheren in één interface. Die software voor firewalls centraal te beheren bevindt zich echter niet in de scope van dit onderzoek.
Wil je de beoordeling van firewalls nog eens mooi in een tabelletje zien? De tabel op het einde van mijn werkstuk vat alles nog eens mooi samen speciaal voor jou. Wil je meer uitleg over de beoordeling, houd je dan niet in en lees dan beslist het volledige werkstuk!
[1] CIPAL . Wie is en wat doet CIPAL.
Gevonden op 19 augustus, 2009 op het internet: http://www.cipal.be/Default.aspx?tabid=316
[2] Scambray, J., McClure, S., .(2008). Hacking Exposed Windows: Windows Security Secrets & Solutions. McGraw-Hill.
[3] Northcutt, S., Zeltser, L., Winters, S., Kent, K., Ritchey, R., .(2005). Inside Network Perimeter Security. Sams Publishing.
[4] Cameron, R., .(2007). Configuring Juniper Networks Netscreen & Ssg Firewalls. Syngress.
[5] Gregg, M., .(2006). Certified Ethical Hacker Exam Prep. Pearson Certification
[6] Tenable Security . Limiting the Ports Probed by Nessus Scans.
Gevonden op 19 augustus, 2009 op het internet: http://blog.tenablesecurity.com/2006/09/limiting_the_po.html
[7] Howlett, T., .(2004). Open Source Security Tools - Practical Guide to Security Applications. Prentice Hall
[8] Wikipedia . Timeline of computer viruses and worms.
Gevonden op 19 augustus, 2009 op het internet: http://en.wikipedia.org/wiki/Timeline_of_notable_computer_viruses_and_w…
[9] Scambray, J., McClure, S., George, K., .(2008). Hacking Exposed: Network Security Secrets & Solutions. McGraw-Hill.
[10] Wikipedia . Sasser worm.
Gevonden op 19 augustus, 2009 op het internet: http://en.wikipedia.org/wiki/Sasser_worm
[11] Microsoft . Microsoft Security Bulletin MS08-067 – Critical.
Gevonden op 19 augustus, 2009 op het internet: http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
[12] Security.nl . Conficker gevaarlijkste worm afgelopen jaren.
Gevonden op 19 augustus, 2009 op het internet: http://www.security.nl/artikel/26877
[13] ZDNet . Kaspersky impressed by botnet slickness.
Gevonden op 19 augustus, 2009 op het internet: http://www.zdnet.com.au/news/security/soa/Kaspersky-impressed-by-botnet…
[14] Gibson Research Corporation . Security Now!.
Gevonden op 19 augustus, 2009 op het internet: http://www.grc.com/securitynow.htm
[15] Gibson Research Corporation . Port 445.
Gevonden op 19 augustus, 2009 op het internet: http://www.grc.com/port_445.htm
[16] NetSpert Security . microsoft-ds.
Gevonden op 19 augustus, 2009 op het internet:
http://spert.net/security/port-details.php?port=445
[17] Windows IT Pro . How do I open port 445 for remote administration of Windows XP (SP2 or greater) with the Windows Firewall enabled?.
Gevonden op 19 augustus, 2009 op het internet:
http://windowsitpro.com/article/articleid/80599/jsi-tip-7907-how-do-i-o…
[18] Channel Web . Conficker E Variant Linked To Fake Antivirus Scams.
Gevonden op 19 augustus, 2009 op het internet:
http://www.crn.com/security/216500299;jsessionid=VJGBDR5SNN2Y2QSNDLPCKH…
[19] McAfee . Conficker Worm using Metasploit payload to spread.
Gevonden op 19 augustus, 2009 op het internet:
http://www.avertlabs.com/research/blog/index.php/2009/01/15/conficker-w…
[20] SRI International . An Analysis of Conficker's Logic and Rendezvous Points.
Gevonden op 19 augustus, 2009 op het internet: http://mtc.sri.com/Conficker/
[21] The Honeynet Project . Conficker.A going down?.
Gevonden op 19 augustus, 2009 op het internet: https://honeynet.org/node/461
[22] Downadup Conficker Worm . Downadup Conficker Worm.
Gevonden op 19 augustus, 2009 op het internet:
http://downadup-conficker.blogspot.com/
[23] Insecure.org . Options Summary.
Gevonden op 19 augustus, 2009 op het internet:
http://nmap.org/book/man-briefoptions.html
[24] Insecure.org . Nmap Development: -PN reason, localhost isn't really responding.
Gevonden op 19 augustus, 2009 op het internet:
http://seclists.org/nmap-dev/2008/q3/0188.html
[25] Wikipedia . Intrusion detection system.
Gevonden op 19 augustus, 2009 op het internet:
http://en.wikipedia.org/wiki/Intrusion_detection_system
[26] Henmi, A., .(2006). Firewall Policies and VPN Configurations. Syngress.
[27] Microsoft . ISA Server 2006 Pricing and Licensing.
Gevonden op 19 augustus, 2009 op het internet:
http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/pricing…
[28] Softpedia . Windows vs. Linux vs. Reliability.
Gevonden op 19 augustus, 2009 op het internet:
http://news.softpedia.com/news/Windows-vs-Linux-vs-reliability-25859.sh…
[29] IAPS . 2008 Server OS Reliability Survey.
Gevonden op 19 augustus, 2009 op het internet:
http://www.iaps.com/2008-server-reliability-survey.html
[30] I Get Off Microsoft . Research on Linux vs. Windows: For What It’s Worth.
Gevonden op 19 augustus, 2009 op het internet:
http://www.tonybove.com/getoffmicrosoft/blog/?p=38
[31] ISAServer.org . What’s new in Forefront TMG Beta 2 (Part 1).
Gevonden op 19 augustus, 2009 op het internet:
http://www.isaserver.org/tutorials/Whats-new-Forefront-TMG-Beta-2-Part1…
[32] Microsoft TechNet . Troubleshooting Firewall Clients in ISA Server 2004.
Gevonden op 19 augustus, 2009 op het internet:
http://technet.microsoft.com/en-us/library/cc302546.aspx
[33] Wikipedia . Port scanner.
Gevonden op 19 augustus, 2009 op het internet: http://en.wikipedia.org/wiki/Port_scanner
[34] Henmi, A., .(2008). Microsoft ISA Server 2006 Unleashed. Sams Publishing.
[35] Juniper . SSG20.
Gevonden op 19 augustus, 2009 op het internet:
http://www.juniper.net/us/en/products-services/security/ssg-series/ssg2…
[36] Behrens, T., .(2007). The Best Damn Firewall Book Period. Syngress.
[37] .(2008). ScreenOS Reference Guide. Juniper Networks.
[38] Check Point . Check Point Software Technologies Price List.
Gevonden op 19 augustus, 2009 op het internet:
https://pricelist.checkpoint.com/pricelist/US/PLUSswblades/SWBlist.jsp
[39] Wikipedia . Check Point VPN-1.
Gevonden op 19 augustus, 2009 op het internet: http://en.wikipedia.org/wiki/Check_Point_VPN-1