Cybercity ‘s svar på en firewall

I et brev til min chef skriver jeg følgende (Navne og firma er slettet)

Jeg har nu testet den router vi fik af Cybercity, og fundet frem til at der højst sandsynlig er firewall i den, men at hardwaren ellers er uændret, i forhold til forgængerne. Jeg har i dag kørt adskillige scans mod den både ude og inde fra, og kan se at den for det første ikke svare på ICMP, hvilket er meget typisk at sætte op i en firewall. Hvis man så laver et forsøg med en SYN scan, er der heller ingen porte åbne, men det bekræfter ikke i sig selv at der er en firewall i den. Den eneste måde at være 110% sikker på er ved at få adgang til den både på telnet og WEB, for at på den måde at se at firewall delen er slået til. Det ville fremme testen hvis man kunne få åbnet nogle forskellige porte, for at se om firewallen kan snupper ”ping of death pakker”, og ikke mindst dementerer om den bliver angrebet, igen ville adgangen til routeren styrke min tiltro, da man på den måde kan samle logning fra den op og analyser hvad den foretager sig i givende situationer.

Min konklusion i denne sag bliver som følger:

Der er en firewall til stede i Cybercity ’s svar på en ZyXEL P-2602HW-D1A ATM router, men firewallen overholder ikke vores krav til SPI (SPI=Statefull Packets Inspection)..

Igennem mine test støde jeg flere gange på at routeren stoppede med at virke og genstartet, pga. muligvis overfyldt NAT tabel, i nogle af mine test med et program kaldt Nessus oplyste rapporterende mig efterfølgende at det var muligt at få udstyret til at genstarte ved at sende mange pakker på port 1 over UDP, hvilket den så på som et sikkerheds problem.

En anden sikkerheds brist kan udløses hvis en bruger resette sin P-2602HW-D1A Cybercity router,da det medføre frafalder af alle former for sikkerhed, andet end NAT, og brugeren finder aldrig ud ad det før det er for sent… Skulle brugeren opdage at firewallen mangler, kan brugeren ikke aktiver den selv, men er tvunget til at køre uden, eller undvære sin hjemme arbejdsplads til Cybercity får behandlede sagen og sendt en ny forud konfigurerede router.

Jeg finder det samtidig meget mystisk at vi ikke kan få WEB/telnet adgang til den, i mine øjne lyder det som om de prøver at skjule noget for os…

Det er heller ikke holdbar, at benytte en router der måske har en firewall, som vi så skal stole blind på, overholder vores sikkerheds krav til NAT + firewall med SPI.

I det øjeblik man tvinger bruger af Cybercity udstyre over på en tusse gammel Amerikansk standart som PPPoa er og samtidig lukker brugeren ude fra sit netværksudstyre, med en stille ”Ja! Der er firewall i den, du må bare ikke nulstille den, eller logge på og tjekke” kan jeg ikke tage produktet i betragtning som et produkt vi som ………………….. kan stole på.

Med venlig hilsen

Dennis Appelon Jensen

P.S.

Jeg er meget spændt på at se hvordan Cybercity vil give mig min public IP adresse på ethernet? (En ting jeg ved TDC kan uden problemer eller spørgsmål)

Share

Comments are closed.