Tiny Software - WinRoute Pro 4.1 zφskal bezpeΦnostnφ certifikßt ICSA

Tiny Software ╚R s.r.o. si dovoluje oznamit, ₧e dne 12.6. 2000 obdr₧ela bezpeΦnostφ certifikßt pro sv∙j firewall WinRoute Pro 4.1. Testovßnφ a certifikaci provedla renomovanß americkß organizace ICSA.

Lab report v angliΦtin∞.

Laboratornφ test ICSA
WinRoute Pro 4.1 (build 19)

Konfigurace systΘmu

Vysv∞tlenφ tΘto sekce
Sprßvnß funkce firewall∙ Φasto zßvisφ na pou₧itΘm operaΦnφm systΘmu a hardware. Firewall m∙₧e dokonce vy₧adovat dedikovanou sprßvcovskou stanici, z nφ₧ se provßdφ v∞tÜina, ne-li vÜechny, sprßvcovskΘ ·kony. Sprßvci firewall∙ jsou dßle zßvislφ na jasnΘ a p°esnΘ dokumentaci k tomu, jak instalovat, konfigurovat a spravovat firewall a pou₧it² operaΦnφ systΘm.

Firewallov² produkt, kter² kandiduje na certifikaci, je tedy minimßln∞ slo₧en nejen ze samotnΘho firewallu, ale takΘ z hardware firewallu a rovn∞₧ z instalaΦnφ, konfiguraΦnφ a administraΦnφ dokumentace. Kandidujφcφ firewallov² produkt m∙₧e b²t dßle slo₧en z pou₧itΘho operaΦnφho systΘmu (pokud nenφ firewall za°φzenφm typu "vÜe v jednom"), jakΘhokoli po₧adovanΘho hardware a software pro sprßvcovskou stanici a dalÜφho hardware a software jako nap°φklad autentifikaΦnφho za°φzenφ.

Tato sekce popisuje hardware a software, ze kterΘho byl slo₧en kandidujφcφ firewallov² produkt v naÜφ testovacφ laborato°i. Na konci sekce je takΘ uveden seznam dokumentace, kterou v²robce poskytl.

Hardware a software kandidujφcφho firewallovΘho produktu
Hardware firewallu poskytnut² v²robcem sestßval z procesoru Intel Celeron 400 MHz, 64 MB RAM, 2 GB pevnΘho disku a 2 sφ¥ov²ch karet.

V²robce poskytl kopii WinRoute Pro verze 4.1 (build 6), obsahujφcφ WinRoute Engine a WinRoute Administration GUI. V²robce takΘ poskytl neexpirujφcφ licenΦnφ klφΦ pro produkt. V²robce pozd∞ji vydal upgrade na verzi WinRoute Pro verze 4.1 (build 19), kter² jsme nainstalovali podle pokyn∙ v²robce.

WinRoute Engine a administraΦnφ program WinRoute byly oba nainstalovßny na Microsoft Windows NT Server, verze 4.0 s U.S. Service Pack 4.

Dokumentace poskytnutß v²robcem
Tiny Software Inc. poskytl t²mu Network Security Lab nßsledujφcφ elektronickou dokumentaci k instalaci, konfiguraci a administraci firewallu:

WinRoute Pro 4 manual (PDF)

Nestandardnφ konfigurace
Pro provoz WinRoute nenφ t°eba specißln∞ konfigurovat ₧ßdnΘ funkce operaΦnφho systΘmu. NicmΘn∞ existuje n∞kolik softwarov²ch nekompatibilit, kterΘ jsou uvedeny v manußlu WinRoute Pro.

Stav po standardnφ instalaci

Vysv∞tlenφ tΘto sekce
V²robce poskytuje t²mu Network Security Lab dokumentaci k instalaci a p°φprav∞ firewallu a kterΘhokoliv pou₧itΘho operaΦnφho systΘmu. Tato dokumentace obvykle p°ichßzφ v tiÜt∞nΘ podob∞, ale m∙₧e mφt i jinou podobu, nap°φlad HTML na CD-ROM nebo komentß°∙ v instalaΦnφm programu.

Pokud se ve v²robcov∞ dokumentaci nevyskytuje upozorn∞nφ t²kajφcφ se konfigurace urΦitΘ vlastnosti nebo slu₧by, t²m Network Security Lab m∙₧e tuto vlastnost nebo slu₧bu na kandidujφcφm firewallovΘm produktu aktivovat. Dßle m∙₧e b²t na kandidujφcφm firewallovΘm produktu aktivovßna dßlkovß administrace, aΦkoli to nenφ po₧adovßno. Pokud kandidujφcφ firewallov² produkt obsahuje sprßvcovskou stanici, je to akceptovatelnß forma vzdßlenΘ administrace.

T²m Network Security Lab instaluje kandidujφcφ firewallov² produkt podle poskytnutΘ dokumentace. T²m Network Security Lab urΦφ, zda je kandidujφcφ firewallov² produkt pln∞ nainstalovan² na zßklad∞ individußlnφho posouzenφ.

Tato sekce zprßvy dokumentuje poΦßteΦnφ bezpeΦnostnφ stav kandidujφcφho firewallovΘho produktu.

V²sledky
Po nainstalovßnφ, WinRoute umo₧≥uje provoz TCP/IP v obou sm∞rech. Nejsou p°eddefinovßna ₧ßdnß p°φstupovß pravidla. Po instalaci takΘ nenφ aktivovßna ₧ßdnß forma NATu (Network Address Translation - tuto volbu u₧ivatel nastavφ po vybrßnφ vn∞jÜφho sφ¥ovΘho rozhranφ - pozn. Tiny Software ╚R).

Nßsledujφcφ tabulka obsahuje popis slu₧eb zjiÜt∞n²ch na produktu po instalaci. "Ne" ve sloupci "OΦekßvßno?", znamenß, ₧e b∞hem instalace nebyla aktivace danΘ slu₧by na produktu zmφn∞na. Sloupec "P°φstupnß pro" popisuje, kter²m mno₧inßm u₧ivatel∙ (vzhledem k firewallu) byla slu₧ba p°φstupnß.

Port slu╛by Identifikovanß slu╛ba OΦekßvßno? P°φstupnß pro

TCP,25

SMTP Server

Ne

Internφ a externφ

UDP, 53

DNS Forwarding

Ne

Internφ

TCP, 110

POP3 Server

No

Internal and External

TCP, 135

rpc endpoint mapper

No

Internal and External

UDP, 135

rpc endpoint mapper

No

Internal

UDP, 137

netbios-ns

No

Internal

UDP, 138

netbios-dgm

No

Internal

TCP, 139

netbios-ssn

No

Internal and External

TCP, 3128

HTTP Proxy

No

Internal and External

TCP, 3129

Web Administration Interface

No

Internal and External

TCP, 44333

Remote Administration Port

No

Internal and External

Vzdßlenß administrace z internφ sφt∞ nebyla standardn∞ aktivovßna.

Po₧adovanß konfigurace slu₧eb a bezpeΦnostnφ politiky

Vysv∞tlenφ tΘto sekce
Firewall Product Certification Criteria, verze 3.0a, po₧adujφ, aby sada bezpeΦnostnφch pravidel firewallu povolila jen vybranou skupinu slu₧eb. Sada bezpeΦnostnφch pravidel mß povolovat odchozφ Telnet, FTP, HTTP, SSL, SMTP a DNS. S v²jimkou Telnetu mß sada pravidel povolovat stejnΘ slu₧by i v p°φchozφm sm∞ru.

Pokud firewall podporuje dßlkovou sprßvu z internφch nebo externφho poΦφtaΦe, tato sprßva m∙₧e b²t nakonfigurovßna podle v²robcovy dokumentace tak, aby vyhovovala po₧adavk∙m. Pokud v²robce dßlkovou sprßvu neposkytuje nebo pokud ji poskytuje, ale nenφ zajiÜt∞na po₧adovanß ·rove≥ ov∞°ovanφ nebo Üifrovßnφ, dßlkovß sprßva nebude konfigurovßna.

PotΘ, co byl nakonfigurovßn podle po₧adovanΘ bezpeΦnostnφ politiky, kandidujφcφ firewalov² produkt je podroben funkΦnφm a bezpeΦnostnφm test∙m. FunkΦnφ testovßnφ ov∞°uje, zda aktivovanΘ slu₧by povolujφ a zamφtajφ p°φchozφ a odchozφ sφ¥ov² provoz tak, jak je oΦekßvßno. B∞hem testovßnφ bezpeΦnosti pou₧ije t²m Network Security Lab proti kandidujφcφmu firewallovΘmu produktu sadu vlastnφch a komerΦnφch nßstroj∙.

V²sledky
Pro ka₧dou po₧adovanou slu₧bu byla definovßna dv∞ filtraΦnφ pravidla. Jedna mno₧ina pravidel byla definovßna pro provoz od klienta k serveru. Druhß sada pravidel byla definovßna pro odpov∞di serveru klientovi. Ob∞ sady pravidel byly definovßny ve slo₧ce "Inbound". Ka₧dou sadu pravidel jsme zakonΦili pravidlem "zamφtnout vÜe ostatnφ". Bez toho by produkt povolil vÜechen provoz, kter² nebyl explicitn∞ zakßzßn.

Servery v privßtnφ sφti byly zp°φstupn∞ny pro klienty ve ve°ejnΘ sφti za pomoci kombinace pravidel pro filtrovßnφ paket∙ (viz p°echozφ odstavec) a funkce produktu "Port Address Translation" (mapovanΘ porty - pozn. TinySoftware ╚R). Funkce "Port Address Translation" ·Φinn∞ p°edala vÜechen povolen² provoz sm∞°ujφcφ na ve°ejnΘ rozhranφ WinRoute p°φsluÜnΘmu specifikovanΘmu serveru v privßtnφ sφti.

Pro spln∞nφ po₧adavk∙ byla aktivovßna funkce Network Address Translation (NAT). Potom byla zdrojovß adresa odchozφch paket∙ p°eklßdßna tak, ₧e se paket zdßl pochßzet z ve°ejnΘho rozhranφ firewallu.

JedinΘ slu₧by poslouchajφcφ na WinRoute b∞hem testovßnφ po₧adovanΘ konfigurace slu₧eb a bezpeΦnostnφ politiky byly ty, kterΘ m∞ly zßznam v tabulce slu₧by "Port Address Translation". Slu₧by poskytovanΘ samotn²m firewallem, kterΘ se objevily pri scanovßnφ port∙ po standarnφ konfiguraci, byly deaktivovßny z administraΦnφho rozhranφ WinRoute v Φßsti "Settings" -> "Advanced".

T²m Network Security Lab pak ov∞°il, ₧e firewall °ßdn∞ obsluhuje vÜechny p°φchozφ a odchozφ po₧adavky FTP, HTTP, HTTPS/SSL, SMTP a DNS. T²m takΘ ov∞°il, ₧e firewall neumo₧nil p°φchozφ Telnet a sprßvn∞ povolil Telnet odchozφ.

Logovßnφ

Vysv∞tlenφ tΘto sekce
T²m Network Security Lab ov∞°uje logovacφ funkce v kandidujφcφm firewallovΘm produktu. T²m Network Security Lab urΦφ, zda log ·sp∞Ün∞ a p°esn∞ zaznamenß ·sp∞ÜnΘ pokusy o spojenφ se slu₧bami uveden²mi v po₧adovanΘ konfiguraci slu₧eb a bezpeΦnostnφ politiky. T²m Network Security Lab takΘ ov∞°φ, zda i ne·sp∞ÜnΘ pokusy o p°φstup na firewall nebo pr∙chod skrze n∞j jsou ·sp∞Ün∞ a p°esn∞ zaznamenßny v logu.

VÜechny zaznamenanΘ udßlosti majφ obsahovat ΦasovΘ razφtko urΦujφcφ, kdy udßlost nastala, informaci vztahujφcφ se k po₧adavku a zda byla udßlost povolena nebo ne. Pokud kandidujφcφ firewallov² produkt posφlß data na jin² poΦφtaΦ, log musφ tΘ₧ identifikovat firewall jako p∙vodce zßznamu.

V²sledky
Ka₧dΘ pravidlo pro filtrovßnφ paket∙ zahrnuje volbu "logovat do souboru", "logovat do okna", volbu provßd∞t obojφ nebo ani jedno. Vybrali jsme "logovat do souboru". Potom jsme byli schopni prohlφ₧et vÜechny logy t²kajφcφ se bezpeΦnosti z administraΦnφho programu WinRoute volbou "View" -> "Logs" -> "Log History". Z administraΦnφho programu bylo mo₧no v "Log History" vyhledßvat °et∞zce dat. Druhou mo₧nostφ bylo ote°φt p°φmo ve Windows NT soubor:

%systemroot%\Program Files\WinRoute Pro\logs\security.txt

Nßsledujφcφ zaznamenanß udßlost je p°φkladem zamφtnutΘho pokusu o spojenφ na TCP port 110 na firewallu:

[12/Apr/2000 15:48:27] Packet filter: ACL 1:8 Linksys LNE100TX Fast Ethernet Adapter: deny packet in: TCP 205.160.80.66:1049 -> 205.160.80.2:110

R∙znΘ poznßmky

Vysv∞tlenφ tΘto sekce
T²m Network Security Lab dokonΦil testovßnφ kandidujφcφho firewallovΘho produktu. Nßsledujφcφ poznßmky laborato°e a certifikaΦnφ poznßmky by m∞ly napomoci t∞m, kdo jsou odpov∞dnφ za obstarßnφ firewallu pro jejich sφ¥. VÜechny nßsledujφcφ poznßmky mohou b²t subjektivnφ a nemusφ mφt ₧ßdn² vztah k tomu, zda produkt splnφ nebo nesplnφ kritΘria.

AΦkoli naÜe kritΘria aktußln∞ neobsahujφ ₧ßdn² po₧adavek na Network Address Translation (NAT), byli jsme nuceni NAT pou₧φt, aby WinRoute kritΘriφm vyhov∞l. Bez NATu produkt neudr₧uje ₧ßdnou formu stavovΘ informace pro otev°enß spojenφ. Tento fakt by ve spojenφ s tφm, jak jsou definovßna filtrovacφ pravidla, mohl vystavit privßtnφ sφ¥ r∙zn²m variantßm ·tok∙ (bezpeΦnost WinRoute je p°edevÜφm dßna vyu₧φvßnφm NATu - pozn. Tiny Software ╚R).

Nßsledujφcφ tabulka je ukßzkou zßznamu v tabulce "Port Address Translation" (mapovanΘ porty). "Listen IP" je IP adresa ve°ejnΘho rozhranφ firewallu a "Destination IP" je IP adresa serveru v privßtnφ sφti VÜechen provoz na port 80 na "Listen IP" by proÜel na "Destination port" na "Destination IP", pokud by bylo definovßno filtraΦnφ pravidlo, kterΘ by to povolilo.

Listen Port Listen IP
Protocol
Destination IP Destination Port

80

205.160.80.2

TCP

205.160.82.13

80

Slu₧by poskytovanΘ firewallem, jako Mail Server, DHCP Server, DNS forwarder, web proxy, dßlkovß administrace, webovß administrace nebyly konfigurovßny a nebyly pro ·Φely certifikace testovßny.

V²sledek

Kandidujφcφ firewallov² produkt vyhov∞l Firewall Product Certification Criteria, verze 3.0a.