|
|
Tiny Software ╚R s.r.o. si dovoluje oznamit, ₧e dne 12.6. 2000 obdr₧ela bezpeΦnostφ certifikßt pro sv∙j firewall WinRoute Pro 4.1. Testovßnφ a certifikaci provedla renomovanß americkß organizace ICSA.
Lab report v angliΦtin∞.
Laboratornφ test ICSA WinRoute Pro 4.1 (build 19)
Konfigurace systΘmu
Vysv∞tlenφ tΘto sekce
Sprßvnß funkce firewall∙ Φasto zßvisφ na pou₧itΘm operaΦnφm systΘmu a hardware. Firewall m∙₧e dokonce vy₧adovat dedikovanou sprßvcovskou stanici, z nφ₧ se provßdφ v∞tÜina, ne-li vÜechny, sprßvcovskΘ ·kony. Sprßvci firewall∙ jsou dßle zßvislφ na jasnΘ a p°esnΘ dokumentaci k tomu, jak instalovat, konfigurovat a spravovat firewall a pou₧it² operaΦnφ systΘm.
Firewallov² produkt, kter² kandiduje na certifikaci, je tedy minimßln∞ slo₧en nejen ze samotnΘho firewallu, ale takΘ z hardware firewallu a rovn∞₧ z instalaΦnφ, konfiguraΦnφ a administraΦnφ dokumentace. Kandidujφcφ firewallov² produkt m∙₧e b²t dßle slo₧en z pou₧itΘho operaΦnφho systΘmu (pokud nenφ firewall za°φzenφm typu "vÜe v jednom"), jakΘhokoli po₧adovanΘho hardware a software pro sprßvcovskou stanici a dalÜφho hardware a software jako nap°φklad autentifikaΦnφho za°φzenφ.
Tato sekce popisuje hardware a software, ze kterΘho byl slo₧en kandidujφcφ firewallov² produkt v naÜφ testovacφ laborato°i. Na konci sekce je takΘ uveden seznam dokumentace, kterou v²robce poskytl.
Hardware a software kandidujφcφho firewallovΘho produktu
Hardware firewallu poskytnut² v²robcem sestßval z procesoru Intel Celeron 400 MHz, 64 MB RAM, 2 GB pevnΘho disku a 2 sφ¥ov²ch karet.
V²robce poskytl kopii WinRoute Pro verze 4.1 (build 6), obsahujφcφ WinRoute Engine a WinRoute Administration GUI. V²robce takΘ poskytl neexpirujφcφ licenΦnφ klφΦ pro produkt. V²robce pozd∞ji vydal upgrade na verzi WinRoute Pro verze 4.1 (build 19), kter² jsme nainstalovali podle pokyn∙ v²robce.
WinRoute Engine a administraΦnφ program WinRoute byly oba nainstalovßny na Microsoft Windows NT Server, verze 4.0 s U.S. Service Pack 4.
Dokumentace poskytnutß v²robcem
Tiny Software Inc. poskytl t²mu Network Security Lab nßsledujφcφ elektronickou dokumentaci k instalaci, konfiguraci a administraci firewallu:
- WinRoute Pro 4 manual (PDF)
Nestandardnφ konfigurace
Pro provoz WinRoute nenφ t°eba specißln∞ konfigurovat ₧ßdnΘ funkce operaΦnφho systΘmu. NicmΘn∞ existuje n∞kolik softwarov²ch nekompatibilit, kterΘ jsou uvedeny v manußlu WinRoute Pro.
Stav po standardnφ instalaci
Vysv∞tlenφ tΘto sekce
V²robce poskytuje t²mu Network Security Lab dokumentaci k instalaci a p°φprav∞ firewallu a kterΘhokoliv pou₧itΘho operaΦnφho systΘmu. Tato dokumentace obvykle p°ichßzφ v tiÜt∞nΘ podob∞, ale m∙₧e mφt i jinou podobu, nap°φlad HTML na CD-ROM nebo komentß°∙ v instalaΦnφm programu.
Pokud se ve v²robcov∞ dokumentaci nevyskytuje upozorn∞nφ t²kajφcφ se konfigurace urΦitΘ vlastnosti nebo slu₧by, t²m Network Security Lab m∙₧e tuto vlastnost nebo slu₧bu na kandidujφcφm firewallovΘm produktu aktivovat. Dßle m∙₧e b²t na kandidujφcφm firewallovΘm produktu aktivovßna dßlkovß administrace, aΦkoli to nenφ po₧adovßno. Pokud kandidujφcφ firewallov² produkt obsahuje sprßvcovskou stanici, je to akceptovatelnß forma vzdßlenΘ administrace.
T²m Network Security Lab instaluje kandidujφcφ firewallov² produkt podle poskytnutΘ dokumentace. T²m Network Security Lab urΦφ, zda je kandidujφcφ firewallov² produkt pln∞ nainstalovan² na zßklad∞ individußlnφho posouzenφ.
Tato sekce zprßvy dokumentuje poΦßteΦnφ bezpeΦnostnφ stav kandidujφcφho firewallovΘho produktu.
V²sledky
Po nainstalovßnφ, WinRoute umo₧≥uje provoz TCP/IP v obou sm∞rech. Nejsou p°eddefinovßna ₧ßdnß p°φstupovß pravidla. Po instalaci takΘ nenφ aktivovßna ₧ßdnß forma NATu (Network Address Translation - tuto volbu u₧ivatel nastavφ po vybrßnφ vn∞jÜφho sφ¥ovΘho rozhranφ - pozn. Tiny Software ╚R).
Nßsledujφcφ tabulka obsahuje popis slu₧eb zjiÜt∞n²ch na produktu po instalaci. "Ne" ve sloupci "OΦekßvßno?", znamenß, ₧e b∞hem instalace nebyla aktivace danΘ slu₧by na produktu zmφn∞na. Sloupec "P°φstupnß pro" popisuje, kter²m mno₧inßm u₧ivatel∙ (vzhledem k firewallu) byla slu₧ba p°φstupnß.
Port
slu╛by
|
Identifikovanß slu╛ba
|
OΦekßvßno?
|
P°φstupnß
pro
|
TCP,25
|
SMTP
Server
|
Ne
|
Internφ
a externφ
|
UDP,
53
|
DNS
Forwarding
|
Ne
|
Internφ
|
TCP,
110
|
POP3
Server
|
No
|
Internal
and External
|
TCP,
135
|
rpc
endpoint mapper
|
No
|
Internal
and External
|
UDP,
135
|
rpc
endpoint mapper
|
No
|
Internal
|
UDP,
137
|
netbios-ns
|
No
|
Internal
|
UDP,
138
|
netbios-dgm
|
No
|
Internal
|
TCP,
139
|
netbios-ssn
|
No
|
Internal
and External
|
TCP,
3128
|
HTTP
Proxy
|
No
|
Internal
and External
|
TCP,
3129
|
Web
Administration Interface
|
No
|
Internal
and External
|
TCP,
44333
|
Remote
Administration Port
|
No
|
Internal
and External
|
|
|
Vzdßlenß administrace z internφ sφt∞ nebyla standardn∞ aktivovßna.
Po₧adovanß konfigurace slu₧eb a bezpeΦnostnφ politiky
Vysv∞tlenφ tΘto sekce
Firewall Product Certification Criteria, verze 3.0a, po₧adujφ, aby sada bezpeΦnostnφch pravidel firewallu povolila jen vybranou skupinu slu₧eb. Sada bezpeΦnostnφch pravidel mß povolovat odchozφ Telnet, FTP, HTTP, SSL, SMTP a DNS. S v²jimkou Telnetu mß sada pravidel povolovat stejnΘ slu₧by i v p°φchozφm sm∞ru.
Pokud firewall podporuje dßlkovou sprßvu z internφch nebo externφho poΦφtaΦe, tato sprßva m∙₧e b²t nakonfigurovßna podle v²robcovy dokumentace tak, aby vyhovovala po₧adavk∙m. Pokud v²robce dßlkovou sprßvu neposkytuje nebo pokud ji poskytuje, ale nenφ zajiÜt∞na po₧adovanß ·rove≥ ov∞°ovanφ nebo Üifrovßnφ, dßlkovß sprßva nebude konfigurovßna.
PotΘ, co byl nakonfigurovßn podle po₧adovanΘ bezpeΦnostnφ politiky, kandidujφcφ firewalov² produkt je podroben funkΦnφm a bezpeΦnostnφm test∙m. FunkΦnφ testovßnφ ov∞°uje, zda aktivovanΘ slu₧by povolujφ a zamφtajφ p°φchozφ a odchozφ sφ¥ov² provoz tak, jak je oΦekßvßno. B∞hem testovßnφ bezpeΦnosti pou₧ije t²m Network Security Lab proti kandidujφcφmu firewallovΘmu produktu sadu vlastnφch a komerΦnφch nßstroj∙.
V²sledky
Pro ka₧dou po₧adovanou slu₧bu byla definovßna dv∞ filtraΦnφ pravidla. Jedna mno₧ina pravidel byla definovßna pro provoz od klienta k serveru. Druhß sada pravidel byla definovßna pro odpov∞di serveru klientovi. Ob∞ sady pravidel byly definovßny ve slo₧ce "Inbound". Ka₧dou sadu pravidel jsme zakonΦili pravidlem "zamφtnout vÜe ostatnφ". Bez toho by produkt povolil vÜechen provoz, kter² nebyl explicitn∞ zakßzßn.
Servery v privßtnφ sφti byly zp°φstupn∞ny pro klienty ve ve°ejnΘ sφti za pomoci kombinace pravidel pro filtrovßnφ paket∙ (viz p°echozφ odstavec) a funkce produktu "Port Address Translation" (mapovanΘ porty - pozn. TinySoftware ╚R). Funkce "Port Address Translation" ·Φinn∞ p°edala vÜechen povolen² provoz sm∞°ujφcφ na ve°ejnΘ rozhranφ WinRoute p°φsluÜnΘmu specifikovanΘmu serveru v privßtnφ sφti.
Pro spln∞nφ po₧adavk∙ byla aktivovßna funkce Network Address Translation (NAT). Potom byla zdrojovß adresa odchozφch paket∙ p°eklßdßna tak, ₧e se paket zdßl pochßzet z ve°ejnΘho rozhranφ firewallu.
JedinΘ slu₧by poslouchajφcφ na WinRoute b∞hem testovßnφ po₧adovanΘ konfigurace slu₧eb a bezpeΦnostnφ politiky byly ty, kterΘ m∞ly zßznam v tabulce slu₧by "Port Address Translation". Slu₧by poskytovanΘ samotn²m firewallem, kterΘ se objevily pri scanovßnφ port∙ po standarnφ konfiguraci, byly deaktivovßny z administraΦnφho rozhranφ WinRoute v Φßsti "Settings" -> "Advanced".
T²m Network Security Lab pak ov∞°il, ₧e firewall °ßdn∞ obsluhuje vÜechny p°φchozφ a odchozφ po₧adavky FTP, HTTP, HTTPS/SSL, SMTP a DNS. T²m takΘ ov∞°il, ₧e firewall neumo₧nil p°φchozφ Telnet a sprßvn∞ povolil Telnet odchozφ.
Logovßnφ
Vysv∞tlenφ tΘto sekce
T²m Network Security Lab ov∞°uje logovacφ funkce v kandidujφcφm firewallovΘm produktu. T²m Network Security Lab urΦφ, zda log ·sp∞Ün∞ a p°esn∞ zaznamenß ·sp∞ÜnΘ pokusy o spojenφ se slu₧bami uveden²mi v po₧adovanΘ konfiguraci slu₧eb a bezpeΦnostnφ politiky. T²m Network Security Lab takΘ ov∞°φ, zda i ne·sp∞ÜnΘ pokusy o p°φstup na firewall nebo pr∙chod skrze n∞j jsou ·sp∞Ün∞ a p°esn∞ zaznamenßny v logu.
VÜechny zaznamenanΘ udßlosti majφ obsahovat ΦasovΘ razφtko urΦujφcφ, kdy udßlost nastala, informaci vztahujφcφ se k po₧adavku a zda byla udßlost povolena nebo ne. Pokud kandidujφcφ firewallov² produkt posφlß data na jin² poΦφtaΦ, log musφ tΘ₧ identifikovat firewall jako p∙vodce zßznamu.
V²sledky
Ka₧dΘ pravidlo pro filtrovßnφ paket∙ zahrnuje volbu "logovat do souboru", "logovat do okna", volbu provßd∞t obojφ nebo ani jedno. Vybrali jsme "logovat do souboru". Potom jsme byli schopni prohlφ₧et vÜechny logy t²kajφcφ se bezpeΦnosti z administraΦnφho programu WinRoute volbou "View" -> "Logs" -> "Log History". Z administraΦnφho programu bylo mo₧no v "Log History" vyhledßvat °et∞zce dat. Druhou mo₧nostφ bylo ote°φt p°φmo ve Windows NT soubor:
%systemroot%\Program Files\WinRoute Pro\logs\security.txt
Nßsledujφcφ zaznamenanß udßlost je p°φkladem zamφtnutΘho pokusu o spojenφ na TCP port 110 na firewallu:
[12/Apr/2000 15:48:27] Packet filter: ACL 1:8 Linksys LNE100TX Fast Ethernet Adapter: deny packet in: TCP
205.160.80.66:1049 -> 205.160.80.2:110
R∙znΘ poznßmky
Vysv∞tlenφ tΘto sekce
T²m Network Security Lab dokonΦil testovßnφ kandidujφcφho firewallovΘho produktu. Nßsledujφcφ poznßmky laborato°e a certifikaΦnφ poznßmky by m∞ly napomoci t∞m, kdo jsou odpov∞dnφ za obstarßnφ firewallu pro jejich sφ¥. VÜechny nßsledujφcφ poznßmky mohou b²t subjektivnφ a nemusφ mφt ₧ßdn² vztah k tomu, zda produkt splnφ nebo nesplnφ kritΘria.
AΦkoli naÜe kritΘria aktußln∞ neobsahujφ ₧ßdn² po₧adavek na Network Address Translation (NAT), byli jsme nuceni NAT pou₧φt, aby WinRoute kritΘriφm vyhov∞l. Bez NATu produkt neudr₧uje ₧ßdnou formu stavovΘ informace pro otev°enß spojenφ. Tento fakt by ve spojenφ s tφm, jak jsou definovßna filtrovacφ pravidla, mohl vystavit privßtnφ sφ¥ r∙zn²m variantßm ·tok∙ (bezpeΦnost WinRoute je p°edevÜφm dßna vyu₧φvßnφm NATu - pozn. Tiny Software ╚R).
Nßsledujφcφ tabulka je ukßzkou zßznamu v tabulce "Port Address Translation" (mapovanΘ porty). "Listen IP" je IP adresa ve°ejnΘho rozhranφ firewallu a "Destination IP" je IP adresa serveru v privßtnφ sφti VÜechen provoz na port 80 na "Listen IP" by proÜel na "Destination port" na "Destination IP", pokud by bylo definovßno filtraΦnφ pravidlo, kterΘ by to povolilo.
Listen
Port
|
Listen
IP
|
Protocol
|
Destination
IP
|
Destination
Port
|
80
|
205.160.80.2
|
TCP
|
205.160.82.13
|
80
|
Slu₧by poskytovanΘ firewallem, jako Mail Server, DHCP Server, DNS forwarder, web proxy, dßlkovß administrace, webovß administrace nebyly konfigurovßny a nebyly pro ·Φely certifikace testovßny.
V²sledek
Kandidujφcφ firewallov² produkt vyhov∞l Firewall Product Certification Criteria, verze 3.0a.
Lab report v angliΦtin∞.
|