Une étude fait apparaître des failles dans la plupart des pare-feu

Le laboratoire indépendant NSS a détecté des vulnérabilités critiques dans les firewalls de Cisco, Fortinet, Juniper, Palo Alto et SonicWall.

NSS Labs a testé les pare-feu de Cisco (ASA 5585), Check Point (Power-1 11065), Fortinet (Fortigate 3950), Juniper (SRX 5800), Palo Alto Networks (PA-4020), et SonicWall (NSA E8500). Le bilan est sans appel : tous ces pare-feu, sauf celui de Check Point, sont vulnérables à l'attaque dite "TCP Split Handshake Attack", qui permet à un attaquant d'entrer dans un réseau protégé en se faisant passer pour un utilisateur digne de confiance.  

Cisco a répliqué en expliquant qu'il avait été incapable de reproduire l'attaque sur son firewall. Fortinet a également réagi, en faisant valoir que son antivirus était capable de bloquer cette attaque.

Si, par défaut, les pare-feu de Juniper et SonicWall ne sont pas protégés contre cette attaque, ils peuvent néanmoins l'être via une configuration personnalisée. Les autres fournisseurs travaillent actuellement pour corriger la vulnérabilité.

NSS Labs a par ailleurs évalué les performances en termes de débit de ces fournisseurs. Résultat : "les revendications de performance dans les fiches techniques des fournisseurs sont généralement nettement exagérées". Trois des six pare feu testés se sont même crachés lors de tests de performance. Seuls ceux de Check Point, Cisco et Palo Alto ont réussi ces tests.

CISCO / Juniper