di Antonio Madoglio, SE Manager, Fortinet Italia
Da molti anni ormai gli hacker si avvalgono di tecniche di evasione per far penetrare i payload malevoli oltre i firewall. Queste tecniche fanno parte degli strumenti che gli hacker hanno a disposizione per tentare di confondere, sopraffare o “accecare” i firewall con dati imprevisti, così da aggirare in prima persona (o tramite bot) gli algoritmi anti-intrusione e lanciare attacchi contro la vittima prescelta.
I next gen firewall (NGFW) sono generalmente progettati – tra le altre cose – per prevenire questa tipologia di attacchi mediante la deep packet inspection. NSS Labs, consulenti di riferimento nel mercato dell’information security, hanno di recente messo a confronto 12 NGFW, scoprendo che alcuni di questi non erano configurati di default per fronteggiare efficacemente queste minacce. Le tipologie di test e le metodologie utilizzate hanno delineato il quadro delle funzionalità attese dai next gen firewall, ma è importante che IT manager e decision maker diano uno sguardo più attento ai test di evasione dato che gli hacker continuano a utilizzare questo tipo di attacco contro aziende di ogni dimensione.
NSS Labs esamina ogni aspetto: dall’esecuzione delle policy dei firewall fino alla misurazione di performance e throughput. Le tattiche di evasione sono solo uno dei cinque gruppi analizzati nella categoria “security effectiveness”. Senza dubbio, come gli amministratori IT sanno bene, se anche una sola area di un firewall è vulnerabile, lo è anche l’intera rete. Si considerino due tipologie di tecniche di evasione, in particolare l’IP Fragmentation+TCP Segmentation e l’RPC Fragmentation. IP Fragmentation e TCP Segmentation sfruttano il processo fondamentale di “slicing and dicing” del traffico che assicura una trasmissione affidabile dei dati tra reti. Per anni gli hacker hanno fatto leva su vulnerabilità nel TCP/IP per “accecare” in modo efficace i sistemi anti-intrusione, lanciare attacchi Denial of Service o portare payload oltre i firewall, manipolando dimensioni e altri attributi dei cosiddetti frammenti di pacchetto che di regola vengono trasmessi e re-assemblati.
Il Remote Procedure Call, o RPC, è un metodo ampiamente usato per facilitare le interazioni client server e, come il TCP/IP, spezzetta i messaggi (“richieste” in nomenclatura RPC) in frammenti per la trasmissione. Come con la IP Fragmentation, gli hacker possono manipolare i frammenti RPC per trasmettere payload malevoli. Le vulnerabilità RPC sono note dal 2001 e i NGFW integrano un meccanismo di re-assemblaggio ad hoc per rilevarne gli exploit.
Come descritto nella metodologia, NSS Labs esegue exploit noti – come gli attacchi basati su frammenti minuscoli o sovrapposti – sui firewall testati e la maggiore parte dei next generation firewall li re-assembla al volo per rilevare gli exploit. Nonostante NSS richieda che i device in prova abbiano l’opzione di re-assemblaggio dei pacchetti abilitata, considerati i risultati dei test gli amministratori dovrebbero verificare che le configurazioni siano corrette e il supporto completo e aggiornato.
Aspetto forse più importante, i risultati dell’Analisi Comparativa di NSS Labs conferiscono ancora più importanza ai test di terze parti. La capacità di rimediare efficientemente alle minacce di evasione è presente nei NGFW, ma utenti e potenziali acquirenti non possono mettere a rischio la propria infrastruttura di rete assumendo che tutti i next gen firewall indirizzino le loro esigenze individuali. Le prove di terze parti, come quelle condotte da NSS Labs, rappresentano quindi un feedback importante per i vendor e un utile punto di partenza per i clienti.
